Исследование вредоносного ПО RTM

Дата: 07.12.2020. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности

Компания BI.ZONE представила масштабное исследование банковского трояна RTM, который является на сегодняшний день одним из наиболее распространённых.

В рамках «Исследования вредоносного ПО RTM» эксперты компании BI.ZONE рассказали об этапах проведения атаки, проанализировали RTM.Downloader и RTM.MainModule, изучили взаимодействие с C&C, выполнение дополнительных команд, алгоритм шифрования, дополнительные модули, способы получения IP-адресов управляющих серверов.

Распространение банковского трояна осуществляет одноименная хакерская группа, которую впервые заметили еще в 2015 году. По информации «Лаборатории Касперского», троян RTM в течение 2019 года атаковала около 22% пользователей от общего числа тех, кто стал жертвой банковских троянов. Поэтому вредонос расположился в ТОП-2 среди наиболее распространённого вредоносного ПО своего класса.

По состоянию на конец 2020 года RTM остается одним из наиболее активных банковских троянов в мире. Главной целью вредоносного софта являются специалисты банковских учреждений, занимающиеся финансовой деятельностью в сфере малого и среднего бизнеса. Средний размер одной кражи денежных средств – около 1,1 млн. рублей. При этом было несколько случаев хищения денег на 12 млн. рублей.

Ежедневно троян RTM атакует около 10 тыс. жертв из России, Беларуси, Украины, Казахстана. Лишь 2% атак приходится на другие страны мира.

Вредоносное ПО RTM написана на Delphi. При проведении атаки киберпреступники используют:

  • RTM.Downloader. Софт, который доставляет основной модуль на атакованное устройство.
  • RTM.MainModule. Основной модуль, собирающий первичные сведения о системе, находящийся в постоянном взаимодействии с сервером управления, загружающий дополнительные модули (при необходимости).

С начала 2019 года экспертами по информационной безопасности было выявлено около 500 образцов RTM.Downloader и RTM.MainModule, распространением которых занималась хакерская группа RTM.

В рамках исследования специалисты компании BI.ZONE пришли к выводу, что вредоносный софт RTM.MainModule представлена в виде качественно написанного инструмента, функциональные возможности которого со временем практически не меняются. Но в него постоянно вносятся доработки: повышение числа детектируемых индикаторов, информирующих о причастности жертвы к финансовой деятельности, увеличение количества способов обнаружения, анализ и отключение средств антивирусной защиты.

Полную версию отчета «Исследования вредоносного ПО RTM» от компании BI.ZONE можно скачать по следующей ссылке.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *