RTM Banking Trojan
Acredita-se que o RTM Banking Trojan seja uma ferramenta de hacking privada, já que os pesquisadores de malware não conseguiram encontrar seu código-fonte online - isso provavelmente significa que apenas um grupo de criminosos o está utilizando em suas campanhas. Até agora, o RTM Banking Trojan tem sido usado com frequência para pequenas e médias empresas na Rússia, mas especialistas em segurança cibernética também detectaram ataques contra alvos no Cazaquistão, Alemanha, Ucrânia e República Tcheca.
Os métodos de propagação e vetores de infecção que os operadores do RTM Banking Trojan usam parecem ser alterados regularmente - no passado, eles contavam com macros do Word, o RIG Exploit Kit, downloads falsos, falsas atualizações de software, documentos com macros, o Buhtrap downloader, o Sundown Exploit Kit e outros. Uma das campanhas mais recentes envolvendo o RTM Banking Trojan parece contar com e-mails de phishing que contêm um documento anexado macro - os usuários que acabam abrindo o arquivo falso podem, inadvertidamente, permitir a execução de um script de macro destinado a implantar o RTM Banking Trojan no computador.
Uma vez que este Trojan é iniciado, ele pode coletar detalhes básicos do sistema e transferi-los para o servidor remoto do invasor - nome de usuário, nome do computador, versão do SO, fuso horário, ferramentas de segurança e privilégios de usuário são apenas uma pequena parte das informações que o RTM Banking Trojan procura.
Uma vez que o Trojan bancário ganhou persistência e está sendo executado no PC alvo, ele pode verificar o histórico de navegação e o disco rígido do usuário quanto à presença de qualquer software ou sites vinculados a uma lista selecionada de instituições financeiras (a maioria delas são nativas da Rússia. O principal recurso do RTM Banking Trojan parece ser o módulo keylogger que permite registrar os toques no teclado físico e virtual - o módulo é capaz de capturar dados da área de transferência. Se o RTM Banking Trojan detectar que o usuário está navegando em um dos sites bancários especificados, ele pode tirar screenshots a cada cinco segundos e transferi-los para o servidor do invasor.
É claro que o RTM Banking Trojan faz parte de uma campanha complicada que visa roubar dinheiro de empresas e usuários na Rússia. Proteger os computadores contra seus ataques pode ser feito com a ajuda de uma ferramenta anti-malware adequada.
