SOS :: Security Operation Space
11 декабря, вторник, 00:00
|
Hot News:

Троян RTM атакует российские организации

07 декабря 2018 г., пятница, 12:33

Зловред похищает данные для входа в банковскую систему и формирует платежное поручение на вывод средств.

С 11 сентября этого года российские банки, а также промышленные и транспортные предприятия подвергаются атаке злоумышленников, нацеленной на хищение денег со счетов организаций. Мошенники рассылают фальшивые письма от имени государственных учреждений с банковским трояном RTM, а затем крадут учетные данные для доступа к системе дистанционного банковского обслуживания (ДБО).

Оказавшись в ней, киберпреступники анализируют информацию о работе предприятия с банковскими приложением или сайтом финансового учреждения, при помощи удаленного доступа авторизуются в аккаунте организации и формируют платежное поручение для вывода средств. Если мошенникам не удается провести транзакцию дистанционно, они крадут токен идентификации и выполняют перевод денег со своего устройства.

По словам специалистов Group-IB, наблюдавших за развитием кампании, пик рассылки пришелся на ноябрь, когда злоумышленники отправили почти 5 тыс. поддельных писем. Сообщения имитируют деловую корреспонденцию от подразделений Роспотребнадзора, региональных министерств и ведомств, судебных и следственных органов. Злоумышленники используют спуфинг, чтобы ввести жертву в заблуждение и подменить реальный адрес отправителя, зарегистрированный на бесплатном почтовом сервере.

К письму приложен архив, содержащий исполняемые файлы с иконками PDF-документов. Кликнув по одному из них, получатель письма запускает программу установки трояна, которая распаковывает необходимые библиотеки и прописывает зловред в автозагрузке. Авторы RTM также включили в него проверку на запуск в песочнице и механизм деактивации одного из антивирусов.

После установки вредоносная программа отслеживает работу с клавиатурой и буфером обмена на зараженном компьютере, а также делает снимки экрана. Троян собирает информацию о банках, сайты которых посещает жертва, анализирует содержимое открытых на них страниц, а также проверяет подключенные к устройству смарт-карты.

RTM передает собранную информацию на C&C-сервер и получает от него инструкции, определяющие дальнейший ход атаки. Злоумышленники способны удаленно управлять зараженным компьютером — выключать его или перезагружать, удалять из памяти активные процессы, выводить на экран сообщения. Троян позволяет доставлять в инфицированную систему исполняемые файлы и библиотеки, а также устанавливать в ней новые вредоносные модули.

По данным Group-IB, с середины сентября злоумышленники отправили более 11 тыс. поддельных писем с почти 3 тыс. электронных адресов, однако рассылка спама — не единственный способ распространения банковских троянов.

В августе этого года специалисты «Лаборатории Касперского» обнаружили, что весной и летом этого года создатели Buhtrap продвигали ее через вредоносный код, добавленный на страницу одного из российских новостных сайтов. Посетитель ресурса скрытно перенаправлялся на подконтрольную злоумышленникам страницу, которая запускала скрипт, заражающий компьютер.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
10:15
09:15
09:15
09:15
08:15
07:15
06:15
06:15
05:20
18:15
17:15
16:27
14:25
14:15
14:15
14:01
12:15
11:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.179
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.