Аналитики компании ESET подготовили развернутый отчет (PDF) о деятельности хакерской группы RTM, чья основная цель — системы ДБО (Дистанционное банковское обслуживание). Группировка активна как минимум с 2015 года. Для своих операций хакеры используют написанную на Delphi малварь, которая позволяет следить за жертвами различными способами, от перехватывания нажатий клавиш, до обнаружения подключенных к системе смарт-карт. В основном жертвами RTM становятся компании из России, Германии, Казахстана, Украины и Чешской республики.
Исследователи рассказывают, что вредоносное ПО группировки проникает в системы жертв по-разному. За прошедшие годы хакеры использовали самые разные механизмы заражения, от наборов экплоитов, до вредоносных документов Microsoft Word.
Помимо шпионских модулей малварь имеет и специальный модуль для поиска в зараженной системе установки «1С:Предприятие 8». Дело в том, что именно 1С и является основной целью злоумышленников, так как программа используется не просто для ведения бухгалтерского учета, но и сообщается с системами ДБО.
Обнаружив в системе «1С:Предприятие 8», малварь запрашивает файл 1c_to_kl.txt, содержащий платежные реквизиты (см. верхнюю иллюстрацию), которые используются в ходе выполнения платежных поручений для систем ДБО. Редактируя этот обычный текстовый файл, злоумышленники могут подменить платежные реквизиты на свои, что, по словам исследователей, приносит хакерам неплохую прибыль.
Стоит отметить, что такой механизм атак нельзя назвать новым. К примеру, ранее его уже использовала группа Buhtrap а на прошлой неделе специалисты «Лаборатории Касперсого» рассказали о трояне TwoBee, который точно так же подменяет реквизиты в текстовых файлах.