Значительный рост числа атак этих двух видов троянцев начался в третьем квартале 2018 года, и с тех пор их интенсивность остается на высоком уровне, сообщается в пресс-релизе Лаборатории Касперского. В частности, количество пользователей, атакованных RTM, в четвертом квартале 2018 года составило 90,844 тысячи против 390 пользователей в первом квартале. При этом около 90% попыток заражения в 2018-2019 годы пришлись на Россию.
За неполные два месяца 2019 года "Лаборатория Касперского" зафиксировала попытки заражения Buhtrap примерно на 200 устройствах, тогда как за весь 2018 год показатель составил чуть более 3 тыс. попыток. Атаки RTM были заблокированы более чем у 30 тыс. пользователей против показателя в 138,4 тыс. в 2018 году.
"В 2018 году количество детектов Buhtrap выросло на 74% по сравнению с 2017. Более того, на устройства некоторых пользователей после установки Buhtrap также загружается другой банковский троянец RTM, что позволяет совершать ещё большее число мошеннических операций. В 2018 году мы наблюдали увеличение количества атак RTM на 5000%", - подчеркнул Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского".
Пик числа атак Buhtrap пришелся на III квартал 2018 года - тогда было атаковано 1488 пользователей, наибольшее количество атак RTM было зафиксировано в IV квартале 2018 года - 90844.
"Банковские троянцы Buhtrap и RTM нацелены на малый и средний бизнес. Злоумышленников прежде всего интересуют бухгалтеры, а среди профессиональных сфер - информационные технологии, преимущественно региональные компании, юриспруденция и малое производство", - указано в отчете "Лаборатории Касперского".
Buhtrap распространяется через эксплойты, внедрённые в новостные сайты, при условии, что используется браузер Internet Explorer. При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap (в 2016 году исходный код вируса появился на хакерских форумах). Загрузчик собирает информацию о компьютере, проверяет историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов.
Если программа обнаруживала один из таких "ключевиков", сервер отдавал команду на загрузку троянов Buhtrap или RTM. Оба нацелены на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем. По оценке Group-IB, каждая подобная успешная атака ежедневно приносила злоумышленниками, в среднем 1,2 млн рублей.
Троян Buhtrap — известен с 2014 года, созданные одноименной преступной группой. С августа 2015 по февраль 2016 группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей ($25 млн). В 2016 году исходный код Buhtrap появился в открытом доступе.
Троян RTM появился в конце 2015 года. Он нацелен на работу с ДБО и платежными системами. RTM является модульным, его модули подменяют реквизиты, считывают нажатия клавиатуры, подменяют DNS-сервера и сертификаты безопасности, осуществляют снимки экрана и т.п.
Зловред RTM атакует пользователей посредством фишинговых рассылок. Темы и тексты сообщений содержат информацию, характерную для переписки с финансовыми структурами: например, "Заявка на возврат", "Копии документов за прошлый месяц" или "Просьба оплатить дебиторскую задолженность". Заражение происходит после перехода по ссылке или открытия вложения.
По оценкам "Лаборатории Касперского", злоумышленники проводят нелегальные транзакции, каждая из которых не превышает 1 млн рублей.
