Existem vários grupos cibernéticos conhecidos especializados em roubar fundos de empresas russas. Vimos ataques utilizando brechas de segurança que permitem acesso à rede do alvo. Depois de obterem acesso, os invasores estudam a estrutura de rede da organização e implantam suas próprias ferramentas para roubar fundos. Um exemplo clássico desta tendência são os grupos de hackers Buhtrap, Cobalt e Corkow.
O grupo RTM no qual este relatório se concentra faz parte desta tendência. Ele usa malware especialmente projetado escrito em Delphi, que veremos com mais detalhes nas seções a seguir. Os primeiros vestígios destas ferramentas no sistema de telemetria da ESET foram descobertos no final de 2015. A equipe carrega vários novos módulos nos sistemas infectados conforme necessário. Os ataques visam utilizadores de sistemas bancários remotos na Rússia e em alguns países vizinhos.
1. Objetivos
A campanha RTM é voltada para usuários corporativos – isso fica óbvio pelos processos que os invasores tentam detectar em um sistema comprometido. O foco está em software de contabilidade para trabalhar com sistemas bancários remotos.
A lista de processos de interesse do RTM se assemelha à lista correspondente do grupo Buhtrap, mas os grupos possuem vetores de infecção diferentes. Se o Buhtrap usava páginas falsas com mais frequência, o RTM usava ataques de download drive-by (ataques ao navegador ou seus componentes) e spam por e-mail. Segundo dados de telemetria, a ameaça visa a Rússia e vários países próximos (Ucrânia, Cazaquistão, República Checa, Alemanha). No entanto, devido à utilização de mecanismos de distribuição em massa, a detecção de malware fora das regiões-alvo não é surpreendente.
O número total de detecções de malware é relativamente pequeno. Por outro lado, a campanha RTM utiliza programas complexos, o que indica que os ataques são altamente direcionados.
Descobrimos vários documentos falsos utilizados pela RTM, incluindo contratos, faturas ou documentos de contabilidade fiscal inexistentes. A natureza das iscas, combinada com o tipo de software visado pelo ataque, indica que os atacantes estão a “entrar” nas redes das empresas russas através do departamento de contabilidade. O grupo agiu de acordo com o mesmo esquema em 2014-2015
Durante a pesquisa, pudemos interagir com diversos servidores C&C. Listaremos a lista completa de comandos nas seções a seguir, mas por enquanto podemos dizer que o cliente transfere dados do keylogger diretamente para o servidor atacante, de onde comandos adicionais são recebidos.
No entanto, já se foi o tempo em que você podia simplesmente se conectar a um servidor de comando e controle e coletar todos os dados de seu interesse. Recriamos arquivos de log realistas para obter alguns comandos relevantes do servidor.
O primeiro deles é uma solicitação ao bot para transferir o arquivo 1c_to_kl.txt - um arquivo de transporte do programa 1C:Enterprise 8, cuja aparência é monitorada ativamente pelo RTM. 1C interage com sistemas bancários remotos enviando dados sobre pagamentos efetuados para um arquivo de texto. Em seguida, o arquivo é enviado ao sistema bancário remoto para automatização e execução da ordem de pagamento.
O arquivo contém detalhes de pagamento. Se os invasores alterarem as informações sobre pagamentos efetuados, a transferência será enviada com dados falsos para as contas dos invasores.
Cerca de um mês após solicitar esses arquivos ao servidor de comando e controle, observamos um novo plugin, 1c_2_kl.dll, sendo carregado no sistema comprometido. O módulo (DLL) foi projetado para analisar automaticamente o arquivo baixado, penetrando nos processos do software de contabilidade. Iremos descrevê-lo em detalhes nas seções a seguir.
Curiosamente, no final de 2016, o FinCERT do Banco da Rússia emitiu um boletim alertando sobre os cibercriminosos que usam arquivos de upload 1c_to_kl.txt. Os desenvolvedores da 1C também conhecem esse esquema, já fizeram uma declaração oficial e listaram os cuidados.
Outros módulos também foram carregados do servidor de comando, em particular o VNC (suas versões de 32 e 64 bits). Assemelha-se ao módulo VNC que foi usado anteriormente em ataques de Trojan Dridex. Este módulo é supostamente usado para conectar-se remotamente a um computador infectado e realizar um estudo detalhado do sistema. Em seguida, os invasores tentam se movimentar pela rede, extraindo senhas de usuários, coletando informações e garantindo a presença constante de malware.
2. Vetores de infecção
A figura seguinte mostra os vectores de infecção detectados durante o período de estudo da campanha. O grupo usa uma ampla variedade de vetores, mas principalmente ataques de download drive-by e spam. Essas ferramentas são convenientes para ataques direcionados, pois no primeiro caso, os invasores podem selecionar sites visitados por possíveis vítimas e, no segundo, podem enviar e-mails com anexos diretamente aos funcionários desejados da empresa.
O malware é distribuído por vários canais, incluindo kits de exploração RIG e Sundown ou correspondências de spam, indicando conexões entre os invasores e outros ciberataques que oferecem esses serviços.
2.1. Como o RTM e o Buhtrap estão relacionados?
A campanha RTM é muito semelhante à Buhtrap. A questão natural é: como eles se relacionam?
Em setembro de 2016, observamos uma amostra RTM sendo distribuída usando o uploader Buhtrap. Além disso, encontramos dois certificados digitais utilizados tanto no Buhtrap quanto no RTM.
The first, allegedly issued to the company DNISTER-M, was used to digitally sign the second Delphi form (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) and the Buhtrap DLL (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890).
O segundo, emitido para Bit-Tredj, foi usado para assinar carregadores Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 e B74F71560E48488D2153AE2FB51207A0AC206E2B), bem como baixar e instalar componentes RTM.
Os operadores RTM usam certificados comuns a outras famílias de malware, mas também possuem um certificado exclusivo. De acordo com a telemetria da ESET, ele foi emitido para Kit-SD e usado apenas para assinar alguns malwares RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
O RTM usa o mesmo carregador do Buhtrap, os componentes do RTM são carregados a partir da infraestrutura do Buhtrap, portanto os grupos possuem indicadores de rede semelhantes. No entanto, de acordo com nossas estimativas, RTM e Buhtrap são grupos diferentes, pelo menos porque o RTM é distribuído de maneiras diferentes (não apenas usando um downloader “estrangeiro”).
Apesar disso, os grupos de hackers usam princípios operacionais semelhantes. Eles têm como alvo empresas que usam software de contabilidade, coletando informações do sistema de forma semelhante, procurando leitores de cartões inteligentes e implantando uma série de ferramentas maliciosas para espionar as vítimas.
3. Evolução
Nesta seção, veremos as diferentes versões de malware encontradas durante o estudo.
3.1. Versionamento
O RTM armazena dados de configuração em uma seção de registro, sendo a parte mais interessante o botnet-prefix. Uma lista de todos os valores que vimos nas amostras que estudamos é apresentada na tabela abaixo.
É possível que os valores possam ser usados para registrar versões de malware. Porém, não notamos muita diferença entre versões como bit2 e bit3, 0.1.6.4 e 0.1.6.6. Além disso, um dos prefixos existe desde o início e evoluiu de um domínio C&C típico para um domínio .bit, como será mostrado a seguir.
3.2. Agendar
Utilizando dados de telemetria, criamos um gráfico de ocorrência de amostras.
4. Análise técnica
Nesta seção, descreveremos as principais funções do Trojan bancário RTM, incluindo mecanismos de resistência, sua própria versão do algoritmo RC4, protocolo de rede, funcionalidade de espionagem e alguns outros recursos. Em particular, nos concentraremos nas amostras SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 e 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalação e salvamento
4.1.1. Implementação
O núcleo RTM é uma DLL, a biblioteca é carregada no disco usando .EXE. O arquivo executável geralmente é empacotado e contém código DLL. Uma vez iniciado, ele extrai a DLL e a executa usando o seguinte comando:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2.DLL
A DLL principal é sempre carregada no disco como winlogon.lnk na pasta %PROGRAMDATA%Winlogon. Essa extensão de arquivo geralmente está associada a um atalho, mas na verdade o arquivo é uma DLL escrita em Delphi, chamada core.dll pelo desenvolvedor, conforme mostrado na imagem abaixo.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Uma vez lançado, o Trojan ativa seu mecanismo de resistência. Isto pode ser feito de duas maneiras diferentes, dependendo dos privilégios da vítima no sistema. Se você tiver direitos de administrador, o Trojan adiciona uma entrada do Windows Update ao registro HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Os comandos contidos no Windows Update serão executados no início da sessão do usuário.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,host DllGetClassObject
O Trojan também tenta adicionar uma tarefa ao Agendador de Tarefas do Windows. A tarefa iniciará a DLL winlogon.lnk com os mesmos parâmetros acima. Os direitos de usuário regulares permitem que o Trojan adicione uma entrada do Windows Update com os mesmos dados ao registro HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritmo RC4 modificado
Apesar das suas deficiências conhecidas, o algoritmo RC4 é regularmente utilizado por autores de malware. No entanto, os criadores do RTM modificaram-no ligeiramente, provavelmente para dificultar a tarefa dos analistas de vírus. Uma versão modificada do RC4 é amplamente utilizada em ferramentas RTM maliciosas para criptografar strings, dados de rede, configurações e módulos.
4.2.1. Diferenças
O algoritmo RC4 original inclui dois estágios: inicialização do bloco s (também conhecido como KSA - Key-Scheduling Algorithm) e geração de sequência pseudo-aleatória (PRGA - Pseudo-Random Generation Algorithm). O primeiro estágio envolve a inicialização do s-box usando a chave e, no segundo estágio, o texto fonte é processado usando o s-box para criptografia.
Os autores do RTM adicionaram uma etapa intermediária entre a inicialização do s-box e a criptografia. A chave adicional é variável e é definida ao mesmo tempo que os dados a serem criptografados e descriptografados. A função que executa esta etapa adicional é mostrada na figura abaixo.
4.2.2. Criptografia de string
À primeira vista, existem várias linhas legíveis na DLL principal. O restante é criptografado usando o algoritmo descrito acima, cuja estrutura é mostrada na figura a seguir. Encontramos mais de 25 chaves RC4 diferentes para criptografia de strings nas amostras analisadas. A chave XOR é diferente para cada linha. O valor do campo numérico que separa as linhas é sempre 0xFFFFFFFF.
No início da execução, o RTM descriptografa as strings em uma variável global. Quando necessário para acessar uma string, o Trojan calcula dinamicamente o endereço das strings descriptografadas com base no endereço base e no deslocamento.
As strings contêm informações interessantes sobre as funções do malware. Alguns exemplos de strings são fornecidos na Seção 6.8.
4.3. Rede
A forma como o malware RTM entra em contato com o servidor C&C varia de versão para versão. As primeiras modificações (outubro de 2015 – abril de 2016) usaram nomes de domínio tradicionais junto com um feed RSS em livejournal.com para atualizar a lista de comandos.
Desde abril de 2016, temos visto uma mudança para domínios .bit em dados de telemetria. Isto é confirmado pela data de registro do domínio - o primeiro domínio RTM fde05d0573da.bit foi registrado em 13 de março de 2016.
Todas as URLs que vimos durante o monitoramento da campanha tinham um caminho comum: /r/z.php. É bastante incomum e ajudará a identificar solicitações RTM em fluxos de rede.
4.3.1. Canal para comandos e controle
Exemplos legados usaram esse canal para atualizar sua lista de servidores de comando e controle. A hospedagem está localizada em livejournal.com, no momento da redação do relatório ela permanecia na URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal é uma empresa russo-americana que fornece uma plataforma de blog. Os operadores RTM criam um blog LJ no qual postam um artigo com comandos codificados - veja a captura de tela.
As linhas de comando e controle são codificadas usando um algoritmo RC4 modificado (Seção 4.2). A versão atual (novembro de 2016) do canal contém os seguintes endereços de servidor de comando e controle:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. Domínios .bit
Nas amostras RTM mais recentes, os autores se conectam a domínios C&C usando o domínio de nível superior .bit TLD. Não está na lista de domínios de primeiro nível da ICANN (Domain Name and Internet Corporation). Em vez disso, ele usa o sistema Namecoin, que é construído com base na tecnologia Bitcoin. Os autores de malware não costumam usar o TLD .bit para seus domínios, embora um exemplo de tal uso tenha sido observado anteriormente em uma versão do botnet Necurs.
Ao contrário do Bitcoin, os usuários do banco de dados distribuído Namecoin têm a capacidade de salvar dados. A principal aplicação desse recurso é o domínio de nível superior .bit. Você pode registrar domínios que serão armazenados em um banco de dados distribuído. As entradas correspondentes no banco de dados contêm endereços IP resolvidos pelo domínio. Este TLD é “resistente à censura” porque somente o registrante pode alterar a resolução do domínio .bit. Isso significa que é muito mais difícil impedir um domínio malicioso usando esse tipo de TLD.
O Trojan RTM não incorpora o software necessário para ler o banco de dados Namecoin distribuído. Ele usa servidores DNS centrais, como servidores dns.dot-bit.org ou OpenNic para resolver domínios .bit. Portanto, tem a mesma durabilidade dos servidores DNS. Observamos que alguns domínios de equipe não foram mais detectados após serem mencionados em uma postagem do blog.
Outra vantagem do TLD .bit para hackers é o custo. Para registrar um domínio, as operadoras precisam pagar apenas 0,01 NK, o que corresponde a US$ 0,00185 (em 5 de dezembro de 2016). Para efeito de comparação, domínio.com custa pelo menos US$ 10.
4.3.3. Protocolo
Para se comunicar com o servidor de comando e controle, o RTM usa solicitações HTTP POST com dados formatados usando um protocolo personalizado. O valor do caminho é sempre /r/z.php; Agente de usuário Mozilla/5.0 (compatível; MSIE 9.0; Windows NT 6.1; Trident/5.0). Nas solicitações ao servidor, os dados são formatados da seguinte forma, onde os valores de deslocamento são expressos em bytes:
Os bytes 0 a 6 não são codificados; bytes começando em 6 são codificados usando um algoritmo RC4 modificado. A estrutura do pacote de resposta C&C é mais simples. Os bytes são codificados de 4 até o tamanho do pacote.
A lista de possíveis valores de bytes de ação é apresentada na tabela abaixo:
O malware sempre calcula o CRC32 dos dados descriptografados e o compara com o que está presente no pacote. Se forem diferentes, o Trojan descarta o pacote.
Os dados adicionais podem conter vários objetos, incluindo um arquivo PE, um arquivo a ser pesquisado no sistema de arquivos ou novos URLs de comando.
4.3.4. Painel
Percebemos que o RTM utiliza um painel nos servidores C&C. Captura de tela abaixo:
4.4. Sinal característico
RTM é um Trojan bancário típico. Não é nenhuma surpresa que as operadoras queiram informações sobre o sistema da vítima. Por um lado, o bot coleta informações gerais sobre o sistema operacional. Por outro lado, descobre se o sistema comprometido contém atributos associados aos sistemas bancários remotos russos.
4.4.1. Informações gerais
Quando o malware é instalado ou iniciado após uma reinicialização, um relatório é enviado ao servidor de comando e controle contendo informações gerais, incluindo:
- Fuso horário;
- idioma padrão do sistema;
- credenciais de usuário autorizado;
- nível de integridade do processo;
- Nome de usuário;
- nome do computador;
- Versão do sistema operacional;
- módulos adicionais instalados;
- programa antivírus instalado;
- lista de leitores de cartão inteligente.
4.4.2 Sistema bancário remoto
Um alvo típico de Trojan é um sistema bancário remoto e o RTM não é exceção. Um dos módulos do programa se chama TBdo, que realiza diversas tarefas, incluindo varredura de discos e histórico de navegação.
Ao escanear o disco, o Trojan verifica se o software bancário está instalado na máquina. A lista completa dos programas alvo está na tabela abaixo. Ao detectar um arquivo de interesse, o programa envia informações ao servidor de comando. As próximas ações dependem da lógica especificada pelos algoritmos do centro de comando (C&C).
O RTM também procura padrões de URL no histórico do navegador e nas guias abertas. Além disso, o programa examina o uso das funções FindNextUrlCacheEntryA e FindFirstUrlCacheEntryA e também verifica cada entrada para corresponder a URL a um dos seguintes padrões:
Ao detectar abas abertas, o Trojan entra em contato com o Internet Explorer ou Firefox por meio do mecanismo Dynamic Data Exchange (DDE) para verificar se a aba corresponde ao padrão.
A verificação do histórico de navegação e das abas abertas é realizada em um loop WHILE (um loop com uma pré-condição) com um intervalo de 1 segundo entre as verificações. Outros dados monitorados em tempo real serão discutidos na seção 4.5.
Se um padrão for encontrado, o programa reporta isso ao servidor de comando usando uma lista de strings da tabela a seguir:
4.5 Monitoramento
Enquanto o Trojan está em execução, informações sobre as características do sistema infectado (incluindo informações sobre a presença de software bancário) são enviadas ao servidor de comando e controle. A impressão digital ocorre quando o RTM executa pela primeira vez o sistema de monitoramento imediatamente após a varredura inicial do sistema operacional.
4.5.1. Banco remoto
O módulo TBdo também é responsável pelo monitoramento dos processos bancários. Ele usa troca dinâmica de dados para verificar as guias no Firefox e no Internet Explorer durante a verificação inicial. Outro módulo TShell é usado para monitorar janelas de comando (Internet Explorer ou File Explorer).
O módulo usa as interfaces COM IShellWindows, iWebBrowser, DWebBrowserEvents2 e IConnectionPointContainer para monitorar janelas. Quando um usuário navega para uma nova página da web, o malware percebe isso. Em seguida, compara o URL da página com os padrões acima. Ao detectar uma correspondência, o Trojan tira seis capturas de tela consecutivas com intervalo de 5 segundos e as envia ao servidor de comando C&S. O programa também verifica alguns nomes de janelas relacionadas a softwares bancários – a lista completa está abaixo:
4.5.2. Cartão inteligente
O RTM permite monitorar leitores de cartões inteligentes conectados a computadores infectados. Esses dispositivos são usados em alguns países para reconciliar ordens de pagamento. Se este tipo de dispositivo estiver conectado a um computador, poderá indicar a um Trojan que a máquina está sendo usada para transações bancárias.
Ao contrário de outros Trojans bancários, o RTM não pode interagir com esses cartões inteligentes. Talvez esta funcionalidade esteja incluída em um módulo adicional que ainda não vimos.
4.5.3. Registrador de teclas
Uma parte importante do monitoramento de um PC infectado é capturar as teclas digitadas. Parece que os desenvolvedores do RTM não perdem nenhuma informação, pois monitoram não apenas as teclas normais, mas também o teclado virtual e a área de transferência.
Para fazer isso, use a função SetWindowsHookExA. Os invasores registram as teclas pressionadas ou as teclas correspondentes ao teclado virtual, juntamente com o nome e a data do programa. O buffer é então enviado ao servidor de comando C&C.
A função SetClipboardViewer é usada para interceptar a área de transferência. Os hackers registram o conteúdo da área de transferência quando os dados são texto. O nome e a data também são registrados antes do buffer ser enviado ao servidor.
4.5.4. Capturas de tela
Outra função RTM é a interceptação de capturas de tela. O recurso é aplicado quando o módulo de monitoramento de janelas detecta um site ou software bancário de interesse. As capturas de tela são tiradas usando uma biblioteca de imagens gráficas e transferidas para o servidor de comando.
4.6. Desinstalação
O servidor C&C pode impedir a execução do malware e limpar seu computador. O comando permite limpar arquivos e entradas de registro criados enquanto o RTM está em execução. A DLL é então usada para remover o malware e o arquivo winlogon, após o qual o comando desliga o computador. Conforme mostrado na imagem abaixo, a DLL é removida pelos desenvolvedores usando erase.dll.
O servidor pode enviar ao Trojan um comando destrutivo de desinstalação e bloqueio. Nesse caso, se você tiver direitos de administrador, o RTM excluirá o setor de inicialização MBR do disco rígido. Se isso falhar, o Trojan tentará mudar o setor de inicialização do MBR para um setor aleatório - então o computador não será capaz de inicializar o sistema operacional após o desligamento. Isso pode levar a uma reinstalação completa do sistema operacional, o que significa a destruição de evidências.
Sem privilégios de administrador, o malware grava um .EXE codificado na DLL RTM subjacente. O executável executa o código necessário para desligar o computador e registra o módulo na chave de registro HKCUCurrentVersionRun. Cada vez que o usuário inicia uma sessão, o computador é desligado imediatamente.
4.7. O arquivo de configuração
Por padrão, o RTM quase não possui arquivo de configuração, mas o servidor de comando e controle pode enviar valores de configuração que serão armazenados no registro e utilizados pelo programa. A lista de chaves de configuração é apresentada na tabela abaixo:
A configuração é armazenada na chave de registro Software[sequência pseudo-aleatória]. Cada valor corresponde a uma das linhas apresentadas na tabela anterior. Valores e dados são codificados usando o algoritmo RC4 em RTM.
Os dados têm a mesma estrutura de uma rede ou strings. Uma chave XOR de quatro bytes é adicionada no início dos dados codificados. Para valores de configuração, a chave XOR é diferente e depende do tamanho do valor. Pode ser calculado da seguinte forma:
xor_key = (len(config_value) << 24) | (len(valor_config) << 16)
| len(valor_config)| (len(valor_config) << 8)
4.8. Outras funções
A seguir, veremos outras funções suportadas pelo RTM.
4.8.1. Módulos adicionais
O Trojan inclui módulos adicionais, que são arquivos DLL. Os módulos enviados do servidor de comando C&C podem ser executados como programas externos, refletidos na RAM e lançados em novos threads. Para armazenamento, os módulos são salvos em arquivos .dtt e codificados usando o algoritmo RC4 com a mesma chave usada para comunicações de rede.
Até agora observamos a instalação do módulo VNC (8966319882494077C21F66A8354E2CBCA0370464), do módulo de extração de dados do navegador (03DE8622BE6B2F75A364A275995C3411626C4D9F) e do módulo 1c_2_kl (B1EE562E1F69EFC 6FBA58 B88753BE7D0B3E4CFAB).
Para carregar o módulo VNC, o servidor C&C emite um comando solicitando conexões com o servidor VNC em um endereço IP específico na porta 44443. O plugin de recuperação de dados do navegador executa TBrowserDataCollector, que pode ler o histórico de navegação do IE. Em seguida, ele envia a lista completa de URLs visitados ao servidor de comando C&C.
O último módulo descoberto é denominado 1c_2_kl. Ele pode interagir com o pacote de software 1C Enterprise. O módulo inclui duas partes: a parte principal - DLL e dois agentes (32 e 64 bits), que serão injetados em cada processo, registrando uma ligação ao WH_CBT. Tendo sido introduzido no processo 1C, o módulo vincula as funções CreateFile e WriteFile. Sempre que a função vinculada CreateFile é chamada, o módulo armazena o caminho do arquivo 1c_to_kl.txt na memória. Após interceptar a chamada WriteFile, ele chama a função WriteFile e envia o caminho do arquivo 1c_to_kl.txt para o módulo DLL principal, passando-lhe a mensagem WM_COPYDATA criada pelo Windows.
O módulo DLL principal abre e analisa o arquivo para determinar as ordens de pagamento. Ele reconhece o valor e o número da transação contidos no arquivo. Essas informações são enviadas ao servidor de comando. Acreditamos que este módulo esteja em desenvolvimento porque contém uma mensagem de depuração e não pode modificar automaticamente 1c_to_kl.txt.
4.8.2. Escalação de privilégios
O RTM pode tentar aumentar os privilégios exibindo mensagens de erro falsas. O malware simula uma verificação de registro (veja a imagem abaixo) ou usa um ícone real do editor de registro. Observe o erro ortográfico, espere – o que. Após alguns segundos de digitalização, o programa exibe uma mensagem de erro falsa.
Uma mensagem falsa enganará facilmente o usuário médio, apesar dos erros gramaticais. Se o usuário clicar em um dos dois links, o RTM tentará escalar seus privilégios no sistema.
Depois de selecionar uma das duas opções de recuperação, o Trojan inicia a DLL usando a opção runas na função ShellExecute com privilégios de administrador. O usuário verá um prompt real do Windows (veja a imagem abaixo) para elevação. Se o usuário conceder as permissões necessárias, o Trojan será executado com privilégios de administrador.
Dependendo do idioma padrão instalado no sistema, o Trojan exibe mensagens de erro em russo ou inglês.
4.8.3. Certificado
O RTM pode adicionar certificados à Windows Store e confirmar a confiabilidade da adição clicando automaticamente no botão “sim” na caixa de diálogo csrss.exe. Este comportamento não é novo; por exemplo, o Trojan bancário Retefe também confirma de forma independente a instalação de um novo certificado.
4.8.4. Conexão reversa
Os autores do RTM também criaram o túnel Backconnect TCP. Ainda não vimos o recurso em uso, mas ele foi projetado para monitorar remotamente PCs infectados.
4.8.5. Gerenciamento de arquivos hospedeiros
O servidor C&C pode enviar um comando ao Trojan para modificar o arquivo host do Windows. O arquivo host é usado para criar resoluções DNS personalizadas.
4.8.6. Encontre e envie um arquivo
O servidor pode solicitar a pesquisa e download de um arquivo no sistema infectado. Por exemplo, durante a pesquisa recebemos uma solicitação do arquivo 1c_to_kl.txt. Conforme descrito anteriormente, este arquivo é gerado pelo sistema de contabilidade 1C:Enterprise 8.
4.8.7. Atualizar
Finalmente, os autores do RTM podem atualizar o software enviando uma nova DLL para substituir a versão atual.
5. Conclusão
A pesquisa da RTM mostra que o sistema bancário russo ainda atrai ciberataques. Grupos como Buhtrap, Corkow e Carbanak roubam com sucesso dinheiro de instituições financeiras e dos seus clientes na Rússia. A RTM é um novo player nesta indústria.
Ferramentas RTM maliciosas estão em uso pelo menos desde o final de 2015, de acordo com a telemetria da ESET. O programa possui uma gama completa de recursos de espionagem, incluindo leitura de cartões inteligentes, interceptação de teclas digitadas e monitoramento de transações bancárias, bem como busca de arquivos de transporte 1C:Enterprise 8.
O uso de um domínio de nível superior .bit descentralizado e sem censura garante uma infraestrutura altamente resiliente.
Fonte: habr.com