Hay varios grupos cibernéticos conocidos que se especializan en robar fondos de empresas rusas. Hemos visto ataques que utilizan lagunas de seguridad que permiten el acceso a la red del objetivo. Una vez que obtienen acceso, los atacantes estudian la estructura de red de la organización y despliegan sus propias herramientas para robar fondos. Un ejemplo clásico de esta tendencia son los grupos de hackers Buhtrap, Cobalt y Corkow.
El grupo RTM en el que se centra este informe es parte de esta tendencia. Utiliza malware especialmente diseñado y escrito en Delphi, que veremos con más detalle en las siguientes secciones. Los primeros rastros de estas herramientas en el sistema de telemetría de ESET se descubrieron a finales de 2015. El equipo carga varios módulos nuevos en los sistemas infectados según sea necesario. Los ataques están dirigidos a usuarios de sistemas bancarios remotos en Rusia y algunos países vecinos.
1. Objetivos
La campaña RTM está dirigida a usuarios corporativos; esto se desprende de los procesos que los atacantes intentan detectar en un sistema comprometido. La atención se centra en el software de contabilidad para trabajar con sistemas bancarios remotos.
La lista de procesos de interés para RTM se parece a la lista correspondiente del grupo Buhtrap, pero los grupos tienen diferentes vectores de infección. Si Buhtrap usaba páginas falsas con más frecuencia, RTM usaba ataques de descarga no autorizada (ataques al navegador o sus componentes) y spam por correo electrónico. Según los datos de telemetría, la amenaza se dirige a Rusia y a varios países vecinos (Ucrania, Kazajstán, República Checa, Alemania). Sin embargo, debido al uso de mecanismos de distribución masiva, la detección de malware fuera de las regiones de destino no es sorprendente.
El número total de detecciones de malware es relativamente pequeño. Por otro lado, la campaña RTM utiliza programas complejos, lo que indica que los ataques están muy dirigidos.
Hemos descubierto varios documentos señuelo utilizados por RTM, incluidos contratos, facturas o documentos contables fiscales inexistentes. La naturaleza de los señuelos, combinada con el tipo de software objetivo del ataque, indica que los atacantes están “ingresando” en las redes de las empresas rusas a través del departamento de contabilidad. El grupo actuó según el mismo esquema. en 2014-2015
Durante la investigación, pudimos interactuar con varios servidores C&C. Enumeraremos la lista completa de comandos en las siguientes secciones, pero por ahora podemos decir que el cliente transfiere datos desde el keylogger directamente al servidor atacante, desde el cual luego se reciben comandos adicionales.
Sin embargo, se acabaron los días en los que simplemente podía conectarse a un servidor de comando y control y recopilar todos los datos que le interesaban. Recreamos archivos de registro realistas para obtener algunos comandos relevantes del servidor.
El primero de ellos es una solicitud al bot para transferir el archivo 1c_to_kl.txt, un archivo de transporte del programa 1C: Enterprise 8, cuya apariencia RTM monitorea activamente. 1C interactúa con los sistemas bancarios remotos cargando datos sobre pagos salientes en un archivo de texto. A continuación, el archivo se envía al sistema bancario remoto para la automatización y ejecución de la orden de pago.
El archivo contiene detalles de pago. Si los atacantes cambian la información sobre los pagos salientes, la transferencia se enviará con datos falsos a las cuentas de los atacantes.
Aproximadamente un mes después de solicitar estos archivos al servidor de comando y control, observamos que se cargaba un nuevo complemento, 1c_2_kl.dll, en el sistema comprometido. El módulo (DLL) está diseñado para analizar automáticamente el archivo descargado penetrando en los procesos del software de contabilidad. Lo describiremos en detalle en las siguientes secciones.
Curiosamente, FinCERT del Banco de Rusia emitió a finales de 2016 un boletín advirtiendo sobre los ciberdelincuentes que utilizan archivos de carga 1c_to_kl.txt. Los desarrolladores de 1C también conocen este esquema, ya han hecho una declaración oficial y han enumerado las precauciones.
También se cargaron otros módulos desde el servidor de comando, en particular VNC (sus versiones de 32 y 64 bits). Se parece al módulo VNC que se utilizó anteriormente en los ataques del troyano Dridex. Este módulo supuestamente se utiliza para conectarse de forma remota a una computadora infectada y realizar un estudio detallado del sistema. A continuación, los atacantes intentan moverse por la red, extrayendo contraseñas de usuarios, recopilando información y asegurando la presencia constante de malware.
2. Vectores de infección
La siguiente figura muestra los vectores de infección detectados durante el periodo de estudio de la campaña. El grupo utiliza una amplia gama de vectores, pero principalmente ataques de descarga no autorizada y spam. Estas herramientas son convenientes para ataques dirigidos, ya que en el primer caso, los atacantes pueden seleccionar los sitios visitados por víctimas potenciales y, en el segundo, pueden enviar correos electrónicos con archivos adjuntos directamente a los empleados de la empresa deseados.
El malware se distribuye a través de múltiples canales, incluidos los kits de explotación RIG y Sundown o correos no deseados, lo que indica conexiones entre los atacantes y otros ciberatacantes que ofrecen estos servicios.
2.1. ¿Cómo se relacionan RTM y Buhtrap?
La campaña de RTM es muy similar a Buhtrap. La pregunta natural es: ¿cómo se relacionan entre sí?
En septiembre de 2016, observamos que se distribuía una muestra de RTM mediante el cargador Buhtrap. Además, encontramos dos certificados digitales utilizados tanto en Buhtrap como en RTM.
El primero, supuestamente emitido a la empresa DNISTER-M, se utilizó para firmar digitalmente el segundo formulario Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) y la DLL de Buhtrap (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890 ).
El segundo, emitido para Bit-Tredj, se utilizó para firmar cargadores Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 y B74F71560E48488D2153AE2FB51207A0AC206E2B), así como para descargar e instalar componentes RTM.
Los operadores de RTM utilizan certificados que son comunes a otras familias de malware, pero también tienen un certificado único. Según la telemetría de ESET, se envió a Kit-SD y solo se usó para firmar algunos programas maliciosos RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM utiliza el mismo cargador que Buhtrap, los componentes de RTM se cargan desde la infraestructura de Buhtrap, por lo que los grupos tienen indicadores de red similares. Sin embargo, según nuestras estimaciones, RTM y Buhtrap son grupos diferentes, al menos porque RTM se distribuye de diferentes maneras (no sólo mediante un descargador "extranjero").
A pesar de esto, los grupos de hackers utilizan principios operativos similares. Se dirigen a empresas que utilizan software de contabilidad, recopilan de manera similar información del sistema, buscan lectores de tarjetas inteligentes e implementan una variedad de herramientas maliciosas para espiar a las víctimas.
3. Evolución
En esta sección, veremos las diferentes versiones de malware encontradas durante el estudio.
3.1. Versionado
RTM almacena datos de configuración en una sección de registro, siendo la parte más interesante el prefijo de botnet. En la siguiente tabla se presenta una lista de todos los valores que vimos en las muestras que estudiamos.
Es posible que los valores se utilicen para registrar versiones de malware. Sin embargo, no notamos mucha diferencia entre versiones como bit2 y bit3, 0.1.6.4 y 0.1.6.6. Además, uno de los prefijos existe desde el principio y ha evolucionado de un dominio C&C típico a un dominio .bit, como se mostrará a continuación.
3.2. Cronograma
Utilizando datos de telemetría, creamos un gráfico de la aparición de muestras.
4. Análisis técnico
En esta sección, describiremos las funciones principales del troyano bancario RTM, incluidos los mecanismos de resistencia, su propia versión del algoritmo RC4, el protocolo de red, la funcionalidad de espionaje y algunas otras características. En particular, nos centraremos en las muestras SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 y 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalación y ahorro
4.1.1. Implementación
El núcleo de RTM es una DLL, la biblioteca se carga en el disco usando .EXE. El archivo ejecutable suele estar empaquetado y contiene código DLL. Una vez iniciado, extrae la DLL y la ejecuta usando el siguiente comando:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2.DLL
La DLL principal siempre se carga en el disco como winlogon.lnk en la carpeta %PROGRAMDATA%Winlogon. Esta extensión de archivo generalmente se asocia con un acceso directo, pero el archivo es en realidad una DLL escrita en Delphi, denominada core.dll por el desarrollador, como se muestra en la imagen a continuación.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Una vez lanzado, el troyano activa su mecanismo de resistencia. Esto se puede hacer de dos maneras diferentes, dependiendo de los privilegios de la víctima en el sistema. Si tiene derechos de administrador, el troyano agrega una entrada de Windows Update al registro HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Los comandos contenidos en Windows Update se ejecutarán al inicio de la sesión del usuario.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”, host DllGetClassObject
El troyano también intenta agregar una tarea al Programador de tareas de Windows. La tarea iniciará la DLL winlogon.lnk con los mismos parámetros que los anteriores. Los derechos de usuario habituales permiten al troyano agregar una entrada de Windows Update con los mismos datos al registro HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritmo RC4 modificado
A pesar de sus conocidas deficiencias, los autores de malware utilizan habitualmente el algoritmo RC4. Sin embargo, los creadores de RTM lo modificaron ligeramente, probablemente para dificultar la tarea de los analistas de virus. Una versión modificada de RC4 se usa ampliamente en herramientas RTM maliciosas para cifrar cadenas, datos de red, configuraciones y módulos.
4.2.1. Diferencias
El algoritmo RC4 original incluye dos etapas: inicialización del bloque s (también conocido como KSA - Algoritmo de programación de claves) y generación de secuencia pseudoaleatoria (PRGA - Algoritmo de generación pseudoaleatoria). La primera etapa implica inicializar el s-box usando la clave, y en la segunda etapa el texto fuente se procesa usando el s-box para el cifrado.
Los autores de RTM agregaron un paso intermedio entre la inicialización y el cifrado de s-box. La clave adicional es variable y se establece al mismo tiempo que los datos a cifrar y descifrar. La función que realiza este paso adicional se muestra en la siguiente figura.
4.2.2. Cifrado de cadenas
A primera vista, hay varias líneas legibles en la DLL principal. El resto se cifra mediante el algoritmo descrito anteriormente, cuya estructura se muestra en la siguiente figura. Encontramos más de 25 claves RC4 diferentes para el cifrado de cadenas en las muestras analizadas. La clave XOR es diferente para cada fila. El valor del campo numérico que separa las líneas es siempre 0xFFFFFFFF.
Al comienzo de la ejecución, RTM descifra las cadenas en una variable global. Cuando es necesario acceder a una cadena, el troyano calcula dinámicamente la dirección de las cadenas descifradas en función de la dirección base y el desplazamiento.
Las cadenas contienen información interesante sobre las funciones del malware. En la Sección 6.8 se proporcionan algunas cadenas de ejemplo.
4.3 Red
La forma en que el malware RTM contacta con el servidor C&C varía de una versión a otra. Las primeras modificaciones (octubre de 2015 – abril de 2016) utilizaron nombres de dominio tradicionales junto con una fuente RSS en livejournal.com para actualizar la lista de comandos.
Desde abril de 2016, hemos visto un cambio hacia dominios .bit en los datos de telemetría. Esto lo confirma la fecha de registro del dominio: el primer dominio RTM fde05d0573da.bit se registró el 13 de marzo de 2016.
Todas las URL que vimos mientras monitoreábamos la campaña tenían una ruta común: /r/z.php. Es bastante inusual y ayudará a identificar solicitudes RTM en los flujos de red.
4.3.1. Canal de mando y control.
Los ejemplos heredados utilizaron este canal para actualizar su lista de servidores de comando y control. El alojamiento se encuentra en livejournal.com, al momento de escribir el informe permanecía en la URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal es una empresa ruso-estadounidense que ofrece una plataforma de blogs. Los operadores de RTM crean un blog de LJ en el que publican un artículo con comandos codificados (ver captura de pantalla).
Las líneas de comando y control se codifican utilizando un algoritmo RC4 modificado (Sección 4.2). La versión actual (noviembre de 2016) del canal contiene las siguientes direcciones de servidor de comando y control:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)arriba/r/z.php
4.3.2. dominios .bit
En los ejemplos de RTM más recientes, los autores se conectan a dominios C&C utilizando el dominio de nivel superior .bit TLD. No está en la lista de dominios de nivel superior de ICANN (Domain Name and Internet Corporation). En su lugar, utiliza el sistema Namecoin, que está construido sobre la tecnología Bitcoin. Los autores de malware no suelen utilizar el TLD .bit para sus dominios, aunque anteriormente se ha observado un ejemplo de dicho uso en una versión de la botnet Necurs.
A diferencia de Bitcoin, los usuarios de la base de datos distribuida Namecoin tienen la capacidad de guardar datos. La aplicación principal de esta función es el dominio de nivel superior .bit. Puede registrar dominios que se almacenarán en una base de datos distribuida. Las entradas correspondientes en la base de datos contienen direcciones IP resueltas por el dominio. Este TLD es “resistente a la censura” porque solo el registrante puede cambiar la resolución del dominio .bit. Esto significa que es mucho más difícil detener un dominio malicioso utilizando este tipo de TLD.
El troyano RTM no incorpora el software necesario para leer la base de datos distribuida de Namecoin. Utiliza servidores DNS centrales como dns.dot-bit.org u servidores OpenNic para resolver dominios .bit. Por tanto, tiene la misma durabilidad que los servidores DNS. Observamos que algunos dominios del equipo ya no se detectaban después de ser mencionados en una publicación de blog.
Otra ventaja del TLD .bit para los piratas informáticos es el costo. Para registrar un dominio, los operadores deben pagar solo 0,01 NK, lo que corresponde a 0,00185 dólares (al 5 de diciembre de 2016). A modo de comparación, dominio.com cuesta al menos 10 dólares.
4.3.3. Protocolo
Para comunicarse con el servidor de comando y control, RTM utiliza solicitudes HTTP POST con datos formateados usando un protocolo personalizado. El valor de la ruta es siempre /r/z.php; Agente de usuario Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0). En las solicitudes al servidor, los datos tienen el siguiente formato, donde los valores de desplazamiento se expresan en bytes:
Los bytes 0 a 6 no están codificados; los bytes a partir de 6 se codifican utilizando un algoritmo RC4 modificado. La estructura del paquete de respuesta de C&C es más sencilla. Los bytes se codifican desde 4 hasta el tamaño de paquete.
La lista de posibles valores de bytes de acción se presenta en la siguiente tabla:
El malware siempre calcula el CRC32 de los datos descifrados y lo compara con lo que está presente en el paquete. Si difieren, el troyano descarta el paquete.
Los datos adicionales pueden contener varios objetos, incluido un archivo PE, un archivo que se buscará en el sistema de archivos o nuevas URL de comando.
4.3.4. Panel
Notamos que RTM utiliza un panel en los servidores C&C. Captura de pantalla a continuación:
4.4. Signo característico
RTM es un típico troyano bancario. No sorprende que los operadores quieran información sobre el sistema de la víctima. Por un lado, el bot recopila información general sobre el sistema operativo. Por otro lado, descubre si el sistema comprometido contiene atributos asociados con los sistemas bancarios remotos rusos.
4.4.1. Información General
Cuando se instala o ejecuta malware después de un reinicio, se envía un informe al servidor de comando y control que contiene información general que incluye:
- zona horaria
- idioma predeterminado del sistema;
- credenciales de usuario autorizado;
- nivel de integridad del proceso;
- Nombre de usuario;
- nombre de la computadora;
- Versión del sistema operativo;
- módulos instalados adicionales;
- programa antivirus instalado;
- Lista de lectores de tarjetas inteligentes.
4.4.2 Sistema de banca remota
Un objetivo típico de un troyano es un sistema bancario remoto y RTM no es una excepción. Uno de los módulos del programa se llama TBdo y realiza diversas tareas, incluido el escaneo de discos y el historial de navegación.
Al escanear el disco, el troyano comprueba si hay software bancario instalado en la máquina. La lista completa de programas objetivo se encuentra en la siguiente tabla. Habiendo detectado un archivo de interés, el programa envía información al servidor de comando. Las siguientes acciones dependen de la lógica especificada por los algoritmos del centro de comando (C&C).
RTM también busca patrones de URL en el historial de su navegador y en las pestañas abiertas. Además, el programa examina el uso de las funciones FindNextUrlCacheEntryA y FindFirstUrlCacheEntryA, y también verifica que cada entrada coincida con la URL con uno de los siguientes patrones:
Al detectar pestañas abiertas, el troyano contacta con Internet Explorer o Firefox a través del mecanismo de intercambio dinámico de datos (DDE) para comprobar si la pestaña coincide con el patrón.
La verificación de su historial de navegación y de las pestañas abiertas se realiza en un bucle WHILE (un bucle con una condición previa) con una pausa de 1 segundo entre comprobaciones. Otros datos que se monitorean en tiempo real se discutirán en la sección 4.5.
Si se encuentra un patrón, el programa lo informa al servidor de comandos utilizando una lista de cadenas de la siguiente tabla:
4.5 Monitoreo
Mientras el troyano se ejecuta, se envía información sobre las características del sistema infectado (incluida información sobre la presencia de software bancario) al servidor de comando y control. La toma de huellas dactilares se produce cuando RTM ejecuta por primera vez el sistema de monitoreo inmediatamente después del análisis inicial del sistema operativo.
4.5.1. Banca remota
El módulo TBdo también es responsable del seguimiento de los procesos relacionados con la banca. Utiliza el intercambio dinámico de datos para comprobar pestañas en Firefox e Internet Explorer durante el análisis inicial. Otro módulo TShell se utiliza para monitorear las ventanas de comandos (Internet Explorer o File Explorer).
El módulo utiliza las interfaces COM IShellWindows, iWebBrowser, DWebBrowserEvents2 e IConnectionPointContainer para monitorear Windows. Cuando un usuario navega a una nueva página web, el malware lo nota. Luego compara la URL de la página con los patrones anteriores. Tras detectar una coincidencia, el troyano toma seis capturas de pantalla consecutivas con un intervalo de 5 segundos y las envía al servidor de comando C&C. El programa también verifica algunos nombres de ventanas relacionadas con el software bancario; la lista completa se encuentra a continuación:
4.5.2. Tarjeta electrónica
RTM le permite monitorear lectores de tarjetas inteligentes conectados a computadoras infectadas. Estos dispositivos se utilizan en algunos países para conciliar órdenes de pago. Si este tipo de dispositivo está conectado a una computadora, podría indicarle a un troyano que la máquina se está utilizando para transacciones bancarias.
A diferencia de otros troyanos bancarios, RTM no puede interactuar con este tipo de tarjetas inteligentes. Quizás esta funcionalidad esté incluida en algún módulo adicional que aún no hemos visto.
4.5.3. registrador de teclas
Una parte importante del seguimiento de una PC infectada es capturar las pulsaciones de teclas. Parece que a los desarrolladores de RTM no les falta ninguna información, ya que controlan no sólo las teclas normales, sino también el teclado virtual y el portapapeles.
Para hacer esto, use la función SetWindowsHookExA. Los atacantes registran las teclas pulsadas o las teclas correspondientes al teclado virtual, junto con el nombre y la fecha del programa. Luego, el búfer se envía al servidor de comandos C&C.
La función SetClipboardViewer se utiliza para interceptar el portapapeles. Los piratas informáticos registran el contenido del portapapeles cuando los datos son texto. El nombre y la fecha también se registran antes de enviar el búfer al servidor.
4.5.4. Capturas de pantalla
Otra función de RTM es la interceptación de capturas de pantalla. La función se aplica cuando el módulo de monitoreo de ventana detecta un sitio o software bancario de interés. Las capturas de pantalla se toman utilizando una biblioteca de imágenes gráficas y se transfieren al servidor de comando.
4.6. Desinstalación
El servidor C&C puede detener la ejecución del malware y limpiar su computadora. El comando le permite borrar archivos y entradas de registro creados mientras se ejecuta RTM. Luego, la DLL se usa para eliminar el malware y el archivo winlogon, después de lo cual el comando apaga la computadora. Como se muestra en la imagen a continuación, los desarrolladores eliminan la DLL mediante erase.dll.
El servidor puede enviar al troyano un comando destructivo de bloqueo de desinstalación. En este caso, si tiene derechos de administrador, RTM eliminará el sector de arranque MBR del disco duro. Si esto no funciona, el troyano intentará cambiar el sector de inicio del MBR a un sector aleatorio; entonces la computadora no podrá iniciar el sistema operativo después de apagarla. Esto puede llevar a una reinstalación completa del sistema operativo, lo que significa la destrucción de pruebas.
Sin privilegios de administrador, el malware escribe un .EXE codificado en la DLL RTM subyacente. El ejecutable ejecuta el código necesario para apagar la computadora y registra el módulo en la clave de registro HKCUCurrentVersionRun. Cada vez que el usuario inicia una sesión, la computadora se apaga inmediatamente.
4.7. El archivo de configuración
De forma predeterminada, RTM casi no tiene un archivo de configuración, pero el servidor de comando y control puede enviar valores de configuración que se almacenarán en el registro y serán utilizados por el programa. La lista de claves de configuración se presenta en la siguiente tabla:
La configuración se almacena en la clave de registro Software[cadena pseudoaleatoria]. Cada valor corresponde a una de las filas presentadas en la tabla anterior. Los valores y datos se codifican utilizando el algoritmo RC4 en RTM.
Los datos tienen la misma estructura que una red o cadenas. Se agrega una clave XOR de cuatro bytes al comienzo de los datos codificados. Para los valores de configuración, la clave XOR es diferente y depende del tamaño del valor. Se puede calcular de la siguiente manera:
xor_key = (len(config_value) << 24) | (len(valor_config) << 16)
| len(valor_config)| (len(valor_config) << 8)
4.8. Otras funciones
A continuación, veamos otras funciones compatibles con RTM.
4.8.1. Módulos adicionales
El troyano incluye módulos adicionales, que son archivos DLL. Los módulos enviados desde el servidor de comandos C&C se pueden ejecutar como programas externos, reflejarse en la RAM y lanzarse en nuevos subprocesos. Para el almacenamiento, los módulos se guardan en archivos .dtt y se codifican utilizando el algoritmo RC4 con la misma clave utilizada para las comunicaciones de red.
Hasta ahora hemos observado la instalación del módulo VNC (8966319882494077C21F66A8354E2CBCA0370464), el módulo de extracción de datos del navegador (03DE8622BE6B2F75A364A275995C3411626C4D9F) y el módulo 1c_2_kl (B1EE562E1F69EFC) 6FBA58 B88753BE7D0B3E4CFAB).
Para cargar el módulo VNC, el servidor C&C emite un comando solicitando conexiones al servidor VNC en una dirección IP específica en el puerto 44443. El complemento de recuperación de datos del navegador ejecuta TBrowserDataCollector, que puede leer el historial de navegación de IE. Luego envía la lista completa de URL visitadas al servidor de comandos C&C.
El último módulo descubierto se llama 1c_2_kl. Puede interactuar con el paquete de software 1C Enterprise. El módulo incluye dos partes: la parte principal: DLL y dos agentes (32 y 64 bits), que se inyectarán en cada proceso, registrando un enlace a WH_CBT. Habiendo sido introducido en el proceso 1C, el módulo vincula las funciones CreateFile y WriteFile. Siempre que se llama a la función vinculada CreateFile, el módulo almacena la ruta del archivo 1c_to_kl.txt en la memoria. Después de interceptar la llamada WriteFile, llama a la función WriteFile y envía la ruta del archivo 1c_to_kl.txt al módulo DLL principal, pasándole el mensaje WM_COPYDATA de Windows diseñado.
El módulo DLL principal abre y analiza el archivo para determinar las órdenes de pago. Reconoce el importe y número de transacción contenidos en el fichero. Esta información se envía al servidor de comando. Creemos que este módulo está actualmente en desarrollo porque contiene un mensaje de depuración y no puede modificar automáticamente 1c_to_kl.txt.
4.8.2. Escalada de privilegios
RTM puede intentar escalar privilegios mostrando mensajes de error falsos. El malware simula una comprobación del registro (ver imagen a continuación) o utiliza un icono de editor de registro real. Tenga en cuenta el error ortográfico, espere, qué. Después de unos segundos de escaneo, el programa muestra un mensaje de error falso.
Un mensaje falso engañará fácilmente al usuario medio, a pesar de los errores gramaticales. Si el usuario hace clic en uno de los dos enlaces, RTM intentará escalar sus privilegios en el sistema.
Después de seleccionar una de las dos opciones de recuperación, el troyano inicia la DLL usando la opción runas en la función ShellExecute con privilegios de administrador. El usuario verá un mensaje real de Windows (ver imagen a continuación) para la elevación. Si el usuario otorga los permisos necesarios, el troyano se ejecutará con privilegios de administrador.
Dependiendo del idioma predeterminado instalado en el sistema, el troyano muestra mensajes de error en ruso o inglés.
4.8.3. Certificado
RTM puede agregar certificados a la Tienda Windows y confirmar la confiabilidad de la adición haciendo clic automáticamente en el botón "sí" en el cuadro de diálogo csrss.exe. Este comportamiento no es nuevo: por ejemplo, el troyano bancario Retefe también confirma de forma independiente la instalación de un nuevo certificado.
4.8.4. Conexión inversa
Los autores de RTM también crearon el túnel TCP Backconnect. Aún no hemos visto la función en uso, pero está diseñada para monitorear de forma remota las PC infectadas.
4.8.5. Gestión de archivos de host
El servidor C&C puede enviar un comando al troyano para modificar el archivo host de Windows. El archivo host se utiliza para crear resoluciones DNS personalizadas.
4.8.6. Buscar y enviar un archivo
El servidor puede solicitar buscar y descargar un archivo en el sistema infectado. Por ejemplo, durante la investigación recibimos una solicitud para el archivo 1c_to_kl.txt. Como se describió anteriormente, este archivo es generado por el sistema de contabilidad 1C: Enterprise 8.
4.8.7. Actualizar
Finalmente, los autores de RTM pueden actualizar el software enviando una nueva DLL para reemplazar la versión actual.
5. Заключение
La investigación de RTM muestra que el sistema bancario ruso todavía atrae a los ciberatacantes. Grupos como Buhtrap, Corkow y Carbanak roban con éxito dinero de instituciones financieras y de sus clientes en Rusia. RTM es un nuevo actor en esta industria.
Las herramientas maliciosas RTM se han utilizado desde al menos finales de 2015, según la telemetría de ESET. El programa tiene una gama completa de capacidades de espionaje, que incluyen leer tarjetas inteligentes, interceptar pulsaciones de teclas y monitorear transacciones bancarias, así como buscar archivos de transporte 1C: Enterprise 8.
El uso de un dominio de nivel superior .bit descentralizado y sin censura garantiza una infraestructura altamente resistente.
Fuente: habr.com