Кибергруппировка RTM похищает деньги у компаний из России

Детальный отчет об активности кибергруппировки RTM, осуществляющей атаки на коммерческие организации в России и других странах, опубликован экспертами ESET.

Хакеры, действующие по крайней мере с прошлого года, пользуются написанной на Delphi вредоносной программой для того, чтобы следить за пользователями. Так, вредоносная программа способна осуществлять перехват нажатий клавиш и осуществлять считывание информации с карт памяти, подключаемых к компьютерам.

Утилита, применяемая RTM, может осуществлять загрузку файлов на инфицированную систему с командного сервера. Специальный модуль может выявлять системы, на которых установлена программа для бухгалтерского учета «1C: Enterprise 8», применяемая на предприятиях, в том числе, для проведения денежных транзакций посредством систем дистанционного банковского обслуживания (ДБО).

Исследователи, в ходе анализа трафика инфицированного компьютера, нашли запрос определенного файла, который был создан программой «1C: Enterprise 8». В этом файле, имевшем название 1c_to_kl.txt, содержался большой объем информации о перемещениях денежных средств. Документ применяется злоумышленниками как промежуточный шаг в ДБО для выполнения платежных поручений. Путем изменения указанных в файле сведений киберпреступники могут извлечь материальную выгоду.