Esistono diversi gruppi informatici noti specializzati nel furto di fondi da aziende russe. Abbiamo assistito ad attacchi che utilizzavano falle di sicurezza che consentono l'accesso alla rete del bersaglio. Una volta ottenuto l'accesso, gli aggressori studiano la struttura della rete dell'organizzazione e utilizzano i propri strumenti per rubare fondi. Un classico esempio di questa tendenza sono i gruppi di hacker Buhtrap, Cobalt e Corkow.
Il gruppo RTM su cui si concentra questo rapporto rientra in questa tendenza. Utilizza malware appositamente progettato scritto in Delphi, che esamineremo più in dettaglio nelle sezioni seguenti. Le prime tracce di questi strumenti nel sistema di telemetria ESET sono state scoperte alla fine del 2015. Il team carica vari nuovi moduli sui sistemi infetti secondo necessità. Gli attacchi sono mirati agli utenti dei sistemi bancari remoti in Russia e in alcuni paesi limitrofi.
1. Obiettivi
La campagna RTM si rivolge agli utenti aziendali: lo dimostrano i processi che gli aggressori cercano di individuare in un sistema compromesso. L'attenzione si concentra sul software di contabilità per lavorare con i sistemi bancari remoti.
L'elenco dei processi di interesse per RTM assomiglia al corrispondente elenco del gruppo Buhtrap, ma i gruppi hanno diversi vettori di infezione. Se Buhtrap ha utilizzato più spesso pagine false, RTM ha utilizzato attacchi drive-by download (attacchi al browser o ai suoi componenti) e spam tramite e-mail. Secondo i dati telemetrici, la minaccia è rivolta alla Russia e a diversi paesi vicini (Ucraina, Kazakistan, Repubblica Ceca, Germania). Tuttavia, grazie all’utilizzo di meccanismi di distribuzione di massa, il rilevamento di malware al di fuori delle regioni target non sorprende.
Il numero totale di rilevamenti di malware è relativamente piccolo. D'altro canto la campagna RTM utilizza programmi complessi, il che indica che gli attacchi sono altamente mirati.
Abbiamo scoperto diversi documenti-esca utilizzati da RTM, tra cui contratti, fatture o documenti contabili fiscali inesistenti. La natura delle esche, unita al tipo di software preso di mira dall’attacco, indica che gli aggressori stanno “entrando” nelle reti delle aziende russe attraverso il reparto contabilità. Il gruppo ha agito secondo lo stesso schema in 2014-2015
Durante la ricerca abbiamo potuto interagire con diversi server C&C. Elencheremo l'elenco completo dei comandi nelle sezioni seguenti, ma per ora possiamo dire che il client trasferisce i dati dal keylogger direttamente al server attaccante, da cui poi ricevono ulteriori comandi.
Tuttavia, i giorni in cui potevi semplicemente connetterti a un server di comando e controllo e raccogliere tutti i dati che ti interessavano sono finiti. Abbiamo ricreato file di registro realistici per ottenere alcuni comandi rilevanti dal server.
La prima è una richiesta al bot di trasferire il file 1c_to_kl.txt, un file di trasporto del programma 1C: Enterprise 8, il cui aspetto è attivamente monitorato da RTM. 1C interagisce con i sistemi bancari remoti caricando i dati sui pagamenti in uscita in un file di testo. Successivamente il file viene inviato al sistema bancario remoto per l'automazione e l'esecuzione dell'ordine di pagamento.
Il file contiene i dettagli del pagamento. Se gli aggressori modificano le informazioni sui pagamenti in uscita, il trasferimento verrà inviato utilizzando dettagli falsi sui conti degli aggressori.
Circa un mese dopo aver richiesto questi file dal server di comando e controllo, abbiamo osservato un nuovo plugin, 1c_2_kl.dll, caricato sul sistema compromesso. Il modulo (DLL) è progettato per analizzare automaticamente il file scaricato penetrando nei processi del software di contabilità. Lo descriveremo in dettaglio nelle sezioni seguenti.
È interessante notare che FinCERT della Banca di Russia alla fine del 2016 ha emesso un avviso sui criminali informatici che utilizzano file di caricamento 1c_to_kl.txt. Anche gli sviluppatori di 1C sono a conoscenza di questo schema; hanno già rilasciato una dichiarazione ufficiale e elencato le precauzioni.
Dal server di comando sono stati caricati anche altri moduli, in particolare VNC (le sue versioni a 32 e 64 bit). Assomiglia al modulo VNC precedentemente utilizzato negli attacchi Trojan Dridex. Si suppone che questo modulo venga utilizzato per connettersi in remoto a un computer infetto e condurre uno studio dettagliato del sistema. Successivamente, gli aggressori tentano di spostarsi nella rete, estraendo le password degli utenti, raccogliendo informazioni e assicurandosi la costante presenza di malware.
2. Vettori di infezione
La figura seguente mostra i vettori di infezione rilevati durante il periodo di studio della campagna. Il gruppo utilizza un'ampia gamma di vettori, ma principalmente attacchi di download guidati e spam. Questi strumenti sono convenienti per attacchi mirati, poiché nel primo caso gli aggressori possono selezionare i siti visitati dalle potenziali vittime e nel secondo possono inviare e-mail con allegati direttamente ai dipendenti dell'azienda desiderata.
Il malware viene distribuito attraverso più canali, inclusi kit di exploit RIG e Sundown o e-mail di spam, indicando connessioni tra gli aggressori e altri cyberattaccanti che offrono questi servizi.
2.1. Come sono correlati RTM e Buhtrap?
La campagna RTM è molto simile a Buhtrap. La domanda naturale è: come sono collegati tra loro?
Nel settembre 2016, abbiamo osservato la distribuzione di un campione RTM utilizzando l'uploader Buhtrap. Inoltre, abbiamo trovato due certificati digitali utilizzati sia in Buhtrap che in RTM.
Il primo, presumibilmente rilasciato alla società DNISTER-M, è stato utilizzato per firmare digitalmente il secondo modulo Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) e la DLL Buhtrap (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890 XNUMX).
Il secondo, rilasciato a Bit-Tredj, è stato utilizzato per firmare i caricatori Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 e B74F71560E48488D2153AE2FB51207A0AC206E2B), nonché per scaricare e installare componenti RTM.
Gli operatori RTM utilizzano certificati comuni ad altre famiglie di malware, ma dispongono anche di un certificato univoco. Secondo la telemetria ESET, è stato rilasciato a Kit-SD ed è stato utilizzato solo per firmare alcuni malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM utilizza lo stesso caricatore di Buhtrap, i componenti RTM vengono caricati dall'infrastruttura Buhtrap, quindi i gruppi hanno indicatori di rete simili. Tuttavia, secondo le nostre stime, RTM e Buhtrap sono gruppi diversi, almeno perché RTM è distribuito in modi diversi (non solo utilizzando un downloader “straniero”).
Nonostante ciò, i gruppi di hacker utilizzano principi operativi simili. Prendono di mira le aziende che utilizzano software di contabilità, raccogliendo allo stesso modo informazioni di sistema, cercando lettori di smart card e implementando una serie di strumenti dannosi per spiare le vittime.
3. Evoluzione
In questa sezione esamineremo le diverse versioni di malware rilevate durante lo studio.
3.1. Versionamento
RTM memorizza i dati di configurazione in una sezione del registro, la parte più interessante è il prefisso botnet. Un elenco di tutti i valori che abbiamo visto nei campioni che abbiamo studiato è presentato nella tabella seguente.
È possibile che i valori possano essere utilizzati per registrare le versioni del malware. Tuttavia, non abbiamo notato molta differenza tra versioni come bit2 e bit3, 0.1.6.4 e 0.1.6.6. Inoltre, uno dei prefissi esiste fin dall'inizio e si è evoluto da un tipico dominio C&C a un dominio .bit, come verrà mostrato di seguito.
3.2. Programma
Utilizzando i dati di telemetria, abbiamo creato un grafico della presenza di campioni.
4. Analisi tecnica
In questa sezione descriveremo le principali funzioni del Trojan bancario RTM, inclusi i meccanismi di resistenza, la propria versione dell'algoritmo RC4, il protocollo di rete, la funzionalità di spionaggio e alcune altre caratteristiche. In particolare, ci concentreremo sui campioni SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 e 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installazione e salvataggio
4.1.1. Attuazione
Il core RTM è una DLL, la libreria viene caricata su disco utilizzando .EXE. Il file eseguibile è solitamente compresso e contiene codice DLL. Una volta avviato, estrae la DLL e la esegue utilizzando il seguente comando:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2.DLL
La DLL principale viene sempre caricata su disco come winlogon.lnk nella cartella %PROGRAMDATA%Winlogon. Questa estensione di file è solitamente associata a un collegamento, ma il file è in realtà una DLL scritta in Delphi, denominata core.dll dallo sviluppatore, come mostrato nell'immagine seguente.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Una volta lanciato, il Trojan attiva il suo meccanismo di resistenza. Questo può essere fatto in due modi diversi, a seconda dei privilegi della vittima nel sistema. Se disponi dei diritti di amministratore, il Trojan aggiunge una voce di Windows Update al registro HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. I comandi contenuti in Windows Update verranno eseguiti all'inizio della sessione dell'utente.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”, host DllGetClassObject
Il Trojan tenta anche di aggiungere un'attività all'Utilità di pianificazione di Windows. L'attività avvierà la DLL winlogon.lnk con gli stessi parametri di cui sopra. I diritti utente regolari consentono al Trojan di aggiungere una voce di Windows Update con gli stessi dati al registro HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritmo RC4 modificato
Nonostante i suoi noti difetti, l’algoritmo RC4 viene regolarmente utilizzato dagli autori di malware. Tuttavia, gli ideatori di RTM lo hanno leggermente modificato, probabilmente per rendere più difficile il compito degli analisti di virus. Una versione modificata di RC4 è ampiamente utilizzata negli strumenti RTM dannosi per crittografare stringhe, dati di rete, configurazioni e moduli.
4.2.1. Differenze
L'algoritmo RC4 originale comprende due fasi: inizializzazione del blocco s (noto anche come KSA - Key-Scheduling Algorithm) e generazione di sequenze pseudo-casuali (PRGA - Pseudo-Random Generation Algorithm). La prima fase prevede l'inizializzazione della s-box utilizzando la chiave, mentre nella seconda fase il testo sorgente viene elaborato utilizzando la s-box per la crittografia.
Gli autori di RTM hanno aggiunto un passaggio intermedio tra l'inizializzazione della s-box e la crittografia. La chiave aggiuntiva è variabile e viene impostata contemporaneamente ai dati da crittografare e decrittografare. La funzione che esegue questo passaggio aggiuntivo è mostrata nella figura seguente.
4.2.2. Crittografia delle stringhe
A prima vista, ci sono diverse righe leggibili nella DLL principale. Il resto viene crittografato utilizzando l'algoritmo sopra descritto, la cui struttura è mostrata nella figura seguente. Nei campioni analizzati abbiamo trovato più di 25 diverse chiavi RC4 per la crittografia delle stringhe. La chiave XOR è diversa per ogni riga. Il valore del campo numerico che separa le righe è sempre 0xFFFFFFFF.
All'inizio dell'esecuzione, RTM decodifica le stringhe in una variabile globale. Quando è necessario accedere a una stringa, il Trojan calcola dinamicamente l'indirizzo delle stringhe decrittografate in base all'indirizzo di base e all'offset.
Le stringhe contengono informazioni interessanti sulle funzioni del malware. Alcune stringhe di esempio sono fornite nella Sezione 6.8.
4.3. rete
Il modo in cui il malware RTM contatta il server C&C varia da versione a versione. Le prime modifiche (ottobre 2015 - aprile 2016) utilizzavano nomi di dominio tradizionali insieme a un feed RSS su livejournal.com per aggiornare l'elenco dei comandi.
Da aprile 2016 abbiamo assistito al passaggio ai domini .bit nei dati di telemetria. Ciò è confermato dalla data di registrazione del dominio: il primo dominio RTM fde05d0573da.bit è stato registrato il 13 marzo 2016.
Tutti gli URL che abbiamo visto durante il monitoraggio della campagna avevano un percorso comune: /r/z.php. È abbastanza insolito e aiuterà a identificare le richieste RTM nei flussi di rete.
4.3.1. Canale per comandi e controllo
Gli esempi precedenti hanno utilizzato questo canale per aggiornare l'elenco dei server di comando e controllo. L'hosting si trova su livejournal.com, al momento della stesura del rapporto si trovava all'URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal è una società russo-americana che fornisce una piattaforma di blogging. Gli operatori RTM creano un blog LJ in cui pubblicano un articolo con comandi codificati - vedi screenshot.
Le linee di comando e controllo sono codificate utilizzando un algoritmo RC4 modificato (Sezione 4.2). La versione attuale (novembre 2016) del canale contiene i seguenti indirizzi del server di comando e controllo:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domini .bit
Negli esempi RTM più recenti, gli autori si connettono ai domini C&C utilizzando il dominio di primo livello TLD .bit. Non è presente nell'elenco ICANN (Domain Name and Internet Corporation) dei domini di primo livello. Utilizza invece il sistema Namecoin, che si basa sulla tecnologia Bitcoin. Gli autori di malware non utilizzano spesso il TLD .bit per i loro domini, anche se un esempio di tale utilizzo è già stato osservato in una versione della botnet Necurs.
A differenza di Bitcoin, gli utenti del database distribuito Namecoin hanno la possibilità di salvare i dati. L'applicazione principale di questa funzionalità è il dominio di primo livello .bit. Puoi registrare domini che verranno archiviati in un database distribuito. Le voci corrispondenti nel database contengono indirizzi IP risolti dal dominio. Questo TLD è "resistente alla censura" perché solo il registrante può modificare la risoluzione del dominio .bit. Ciò significa che è molto più difficile bloccare un dominio dannoso utilizzando questo tipo di TLD.
Il Trojan RTM non incorpora il software necessario per leggere il database Namecoin distribuito. Utilizza server DNS centrali come dns.dot-bit.org o server OpenNic per risolvere i domini .bit. Pertanto, ha la stessa durabilità dei server DNS. Abbiamo osservato che alcuni domini del team non venivano più rilevati dopo essere stati menzionati in un post del blog.
Un altro vantaggio del TLD .bit per gli hacker è il costo. Per registrare un dominio, gli operatori devono pagare solo 0,01 NK, che corrispondono a $ 0,00185 (al 5 dicembre 2016). Per fare un confronto, dominio.com costa almeno $ 10.
4.3.3. Protocollo
Per comunicare con il server di comando e controllo, RTM utilizza richieste HTTP POST con dati formattati utilizzando un protocollo personalizzato. Il valore del percorso è sempre /r/z.php; Agente utente Mozilla/5.0 (compatibile; MSIE 9.0; Windows NT 6.1; Trident/5.0). Nelle richieste al server, i dati sono formattati come segue, dove i valori di offset sono espressi in byte:
I byte da 0 a 6 non sono codificati; i byte a partire da 6 sono codificati utilizzando un algoritmo RC4 modificato. La struttura del pacchetto di risposta C&C è più semplice. I byte sono codificati da 4 alla dimensione del pacchetto.
L'elenco dei possibili valori dei byte di azione è presentato nella tabella seguente:
Il malware calcola sempre il CRC32 dei dati decriptati e lo confronta con quanto presente nel pacchetto. Se differiscono, il Trojan scarta il pacchetto.
I dati aggiuntivi possono contenere diversi oggetti, tra cui un file PE, un file da cercare nel file system o nuovi URL di comando.
4.3.4. Pannello
Abbiamo notato che RTM utilizza un pannello sui server C&C. Schermata seguente:
4.4. Segno caratteristico
RTM è un tipico Trojan bancario. Non sorprende che gli operatori vogliano informazioni sul sistema della vittima. Da un lato, il bot raccoglie informazioni generali sul sistema operativo. D’altro canto, scoprirà se il sistema compromesso contiene attributi associati ai sistemi bancari remoti russi.
4.4.1. Informazioni generali
Quando il malware viene installato o avviato dopo un riavvio, viene inviato un rapporto al server di comando e controllo contenente informazioni generali, tra cui:
- Fuso orario;
- lingua di sistema predefinita;
- credenziali dell'utente autorizzato;
- livello di integrità del processo;
- Nome utente;
- nome del computer;
- Versione del sistema operativo;
- moduli aggiuntivi installati;
- programma antivirus installato;
- elenco dei lettori di smart card.
4.4.2 Sistema bancario remoto
Un tipico obiettivo dei trojan è un sistema bancario remoto e RTM non fa eccezione. Uno dei moduli del programma si chiama TBdo e svolge varie attività, tra cui la scansione dei dischi e la cronologia di navigazione.
Eseguendo la scansione del disco, il Trojan controlla se sulla macchina è installato un software bancario. L'elenco completo dei programmi di destinazione è nella tabella seguente. Dopo aver rilevato un file di interesse, il programma invia informazioni al server di comando. Le azioni successive dipendono dalla logica specificata dagli algoritmi del centro di comando (C&C).
RTM cerca anche modelli URL nella cronologia del browser e nelle schede aperte. Inoltre, il programma esamina l'utilizzo delle funzioni FindNextUrlCacheEntryA e FindFirstUrlCacheEntryA e controlla inoltre che ciascuna voce corrisponda all'URL con uno dei seguenti modelli:
Dopo aver rilevato le schede aperte, il Trojan contatta Internet Explorer o Firefox tramite il meccanismo Dynamic Data Exchange (DDE) per verificare se la scheda corrisponde al modello.
Il controllo della cronologia di navigazione e delle schede aperte viene eseguito in un ciclo WHILE (un ciclo con una precondizione) con una pausa di 1 secondo tra i controlli. Altri dati monitorati in tempo reale saranno discussi nella sezione 4.5.
Se viene trovato un modello, il programma lo segnala al server dei comandi utilizzando un elenco di stringhe dalla seguente tabella:
4.5 Monitoraggio
Mentre il trojan è in esecuzione, al server di comando e controllo vengono inviate informazioni sulle caratteristiche del sistema infetto (incluse informazioni sulla presenza di software bancario). Il rilevamento delle impronte digitali si verifica quando RTM esegue per la prima volta il sistema di monitoraggio immediatamente dopo la scansione iniziale del sistema operativo.
4.5.1. Servizi bancari a distanza
Il modulo TBdo è inoltre responsabile del monitoraggio dei processi legati al settore bancario. Utilizza lo scambio dinamico di dati per controllare le schede in Firefox e Internet Explorer durante la scansione iniziale. Un altro modulo TShell viene utilizzato per monitorare le finestre di comando (Internet Explorer o Esplora file).
Il modulo utilizza le interfacce COM IShellWindows, iWebBrowser, DWebBrowserEvents2 e IConnectionPointContainer per monitorare le finestre. Quando un utente accede a una nuova pagina Web, il malware lo rileva. Quindi confronta l'URL della pagina con i modelli sopra. Dopo aver rilevato una corrispondenza, il Trojan acquisisce sei screenshot consecutivi con un intervallo di 5 secondi e li invia al server di comando C&S. Il programma controlla anche alcuni nomi di finestre relative al software bancario: l'elenco completo è riportato di seguito:
4.5.2. Smart card
RTM consente di monitorare i lettori di smart card collegati ai computer infetti. Questi dispositivi vengono utilizzati in alcuni paesi per riconciliare gli ordini di pagamento. Se questo tipo di dispositivo è collegato a un computer, potrebbe indicare a un Trojan che la macchina viene utilizzata per transazioni bancarie.
A differenza di altri trojan bancari, RTM non può interagire con tali smart card. Forse questa funzionalità è inclusa in un modulo aggiuntivo che non abbiamo ancora visto.
4.5.3. Registratore di tasti
Una parte importante del monitoraggio di un PC infetto è l'acquisizione delle sequenze di tasti. Sembra che agli sviluppatori RTM non manchi alcuna informazione, poiché monitorano non solo i normali tasti, ma anche la tastiera virtuale e gli appunti.
Per fare ciò, utilizzare la funzione SetWindowsHookExA. Gli aggressori registrano i tasti premuti o i tasti corrispondenti alla tastiera virtuale, insieme al nome e alla data del programma. Il buffer viene quindi inviato al server dei comandi C&C.
La funzione SetClipboardViewer viene utilizzata per intercettare gli appunti. Gli hacker registrano il contenuto degli appunti quando i dati sono testo. Anche il nome e la data vengono registrati prima che il buffer venga inviato al server.
4.5.4. Schermate
Un'altra funzione RTM è l'intercettazione degli screenshot. La funzionalità viene applicata quando il modulo di monitoraggio delle finestre rileva un sito o un software bancario di interesse. Gli screenshot vengono acquisiti utilizzando una libreria di immagini grafiche e trasferiti al server di comando.
4.6. Disinstallazione
Il server C&C può impedire l'esecuzione del malware e pulire il computer. Il comando consente di cancellare file e voci di registro creati durante l'esecuzione di RTM. La DLL viene quindi utilizzata per rimuovere il malware e il file winlogon, dopodiché il comando spegne il computer. Come mostrato nell'immagine seguente, la DLL viene rimossa dagli sviluppatori utilizzando erase.dll.
Il server può inviare al Trojan un comando distruttivo di blocco dell'installazione. In questo caso, se disponi dei diritti di amministratore, RTM eliminerà il settore di avvio MBR sul disco rigido. Se fallisce, il Trojan proverà a spostare il settore di avvio dell'MBR in un settore casuale, quindi il computer non sarà in grado di avviare il sistema operativo dopo lo spegnimento. Ciò può portare alla completa reinstallazione del sistema operativo, il che significa la distruzione delle prove.
Senza privilegi di amministratore, il malware scrive un file .EXE codificato nella DLL RTM sottostante. L'eseguibile esegue il codice necessario per spegnere il computer e registra il modulo nella chiave di registro HKCUCurrentVersionRun. Ogni volta che l'utente avvia una sessione, il computer si spegne immediatamente.
4.7. Il file di configurazione
Per impostazione predefinita, RTM non ha quasi alcun file di configurazione, ma il server di comando e controllo può inviare valori di configurazione che verranno archiviati nel registro e utilizzati dal programma. L'elenco delle chiavi di configurazione è presentato nella tabella seguente:
La configurazione è archiviata nella chiave del Registro di sistema Software[Stringa pseudo-casuale]. Ogni valore corrisponde a una delle righe presentate nella tabella precedente. Valori e dati sono codificati utilizzando l'algoritmo RC4 in RTM.
I dati hanno la stessa struttura di una rete o di stringhe. All'inizio dei dati codificati viene aggiunta una chiave XOR a quattro byte. Per i valori di configurazione, la chiave XOR è diversa e dipende dalla dimensione del valore. Può essere calcolato come segue:
xor_key = (len(config_value) << 24) | (len(valore_config) << 16)
| len(valore_config)| (len(valore_config) << 8)
4.8. Altre caratteristiche
Successivamente, esaminiamo le altre funzioni supportate da RTM.
4.8.1. Moduli aggiuntivi
Il Trojan include moduli aggiuntivi, che sono file DLL. I moduli inviati dal server dei comandi C&C possono essere eseguiti come programmi esterni, riflessi nella RAM e avviati in nuovi thread. Per l'archiviazione, i moduli vengono salvati in file .dtt e codificati utilizzando l'algoritmo RC4 con la stessa chiave utilizzata per le comunicazioni di rete.
Finora abbiamo osservato l'installazione del modulo VNC (8966319882494077C21F66A8354E2CBCA0370464), del modulo di estrazione dati del browser (03DE8622BE6B2F75A364A275995C3411626C4D9F) e del modulo 1c_2_kl (B1EE562E1F69E FC6FBA58 B88753BE7D0B3E4CFAB).
Per caricare il modulo VNC, il server C&C emette un comando richiedendo connessioni al server VNC a un indirizzo IP specifico sulla porta 44443. Il plug-in di recupero dati del browser esegue TBrowserDataCollector, che può leggere la cronologia di navigazione di IE. Quindi invia l'elenco completo degli URL visitati al server dei comandi C&C.
L'ultimo modulo scoperto si chiama 1c_2_kl. Può interagire con il pacchetto software 1C Enterprise. Il modulo comprende due parti: la parte principale - DLL e due agenti (32 e 64 bit), che verranno inseriti in ciascun processo, registrando un'associazione a WH_CBT. Introdotto nel processo 1C, il modulo associa le funzioni CreateFile e WriteFile. Ogni volta che viene chiamata la funzione associata CreateFile, il modulo archivia in memoria il percorso del file 1c_to_kl.txt. Dopo aver intercettato la chiamata WriteFile, chiama la funzione WriteFile e invia il percorso del file 1c_to_kl.txt al modulo DLL principale, passandogli il messaggio Windows WM_COPYDATA predisposto.
Il modulo DLL principale apre e analizza il file per determinare gli ordini di pagamento. Riconosce l'importo e il numero di transazione contenuti nel file. Queste informazioni vengono inviate al server dei comandi. Riteniamo che questo modulo sia attualmente in fase di sviluppo perché contiene un messaggio di debug e non può modificare automaticamente 1c_to_kl.txt.
4.8.2. Aumento dei privilegi
RTM potrebbe tentare di aumentare i privilegi visualizzando falsi messaggi di errore. Il malware simula un controllo del registro (vedi immagine sotto) o utilizza un'icona reale dell'editor del registro. Si prega di notare l'errore di ortografia: aspetta. Dopo alcuni secondi di scansione, il programma visualizza un falso messaggio di errore.
Un messaggio falso ingannerà facilmente l'utente medio, nonostante gli errori grammaticali. Se l'utente fa clic su uno dei due collegamenti, RTM tenterà di aumentare i suoi privilegi nel sistema.
Dopo aver selezionato una delle due opzioni di ripristino, il Trojan avvia la DLL utilizzando l'opzione runas nella funzione ShellExecute con privilegi di amministratore. L'utente vedrà un vero e proprio prompt di Windows (vedi immagine sotto) per l'elevazione. Se l'utente fornisce le autorizzazioni necessarie, il Trojan verrà eseguito con privilegi di amministratore.
A seconda della lingua predefinita installata nel sistema, il Trojan visualizza messaggi di errore in russo o inglese.
4.8.3. Certificato
RTM può aggiungere certificati a Windows Store e confermare l'affidabilità dell'aggiunta facendo clic automaticamente sul pulsante "sì" nella finestra di dialogo csrss.exe. Questo comportamento non è nuovo: ad esempio anche il trojan bancario Retefe conferma autonomamente l'installazione di un nuovo certificato.
4.8.4. Connessione inversa
Gli autori di RTM hanno creato anche il tunnel TCP Backconnect. Non abbiamo ancora visto in uso questa funzionalità, ma è progettata per monitorare da remoto i PC infetti.
4.8.5. Gestione file host
Il server C&C può inviare un comando al Trojan per modificare il file host di Windows. Il file host viene utilizzato per creare risoluzioni DNS personalizzate.
4.8.6. Trova e invia un file
Il server potrebbe richiedere di cercare e scaricare un file sul sistema infetto. Ad esempio, durante la ricerca abbiamo ricevuto una richiesta per il file 1c_to_kl.txt. Come descritto in precedenza, questo file viene generato dal sistema contabile 1C: Enterprise 8.
4.8.7. Aggiorna
Infine, gli autori RTM possono aggiornare il software inviando una nuova DLL per sostituire la versione corrente.
5. Заключение
La ricerca di RTM mostra che il sistema bancario russo attira ancora gli aggressori informatici. Gruppi come Buhtrap, Corkow e Carbanak rubano con successo denaro agli istituti finanziari e ai loro clienti in Russia. RTM è un nuovo attore in questo settore.
Secondo la telemetria ESET, gli strumenti RTM dannosi sono in uso almeno dalla fine del 2015. Il programma ha una gamma completa di funzionalità di spionaggio, tra cui la lettura di smart card, l'intercettazione di tasti premuti e il monitoraggio delle transazioni bancarie, nonché la ricerca di file di trasporto 1C: Enterprise 8.
L'uso di un dominio di primo livello .bit decentralizzato e non censurato garantisce un'infrastruttura altamente resiliente.
Fonte: habr.com