RTM

¿Qué es?

RTM, también conocido como Redaman y RTM Banker, es un malware de tipo troyano bancario que se enfoca en infectar dispositivos Windows para robar credenciales y fondos bancarios usados, sobre todo, por empresas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Monitoriza la actividad en los navegadores (Internet Explorer, Firefox y Chrome) y busca patrones y URL de banca en línea y la presencia de software de banca remota (RBS).
• Roba credenciales y datos financieros mediante la exfiltración de la información a los servidores de mando y control (C2).
• Registra pulsaciones de teclas (keylogging) y el contenido del portapapeles con una asociación a la aplicación activa en ese momento para capturar datos sensibles.
• Captura de pantallas (y vídeo de escritorio), especialmente cuando detecta actividad relacionada con banca en línea.
• Supervisa lectores de tarjetas inteligentes (smart cards) conectados para identificar equipos que autorizan órdenes bancarias (sin interactuar con las tarjetas).
• Crea autoinicio como tarea programada, descarga y ejecuta módulos y procesos en memoria, se auto-actualiza, eleva privilegios y agrega certificados al almacén de los sistemas.
• Mantiene persistencia y ejecuta órdenes remotas.
• Modifica la configuración de los sistemas, incluye cambios en sus ficheros hosts (DNS) y termina procesos.
• Descarga y ejecuta otros archivos y programas maliciosos para mejorar sus capacidades de ataque.
• Se comunica con servidores de mando y control (C2) de forma resiliente, mediante feeds en LiveJournal y dominios .bit (Namecoin), con tráfico HTTP POST y cifrado propio basado en RC4.
• Recopila información de los sistemas (versión del sistema operativo, privilegios, usuarios/equipos, software de seguridad, módulos instalados, lista de lectores de smart card, etc.).

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, sobre todo, a través de campañas de correo malicioso (malspam) en ruso con archivos adjuntos comprimidos que contienen ejecutables disfrazados de documentos PDF.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• A Guide to the RTM Banking Trojan (ESET)
• RTM: Stealthy group targeting remote banking system (ESET)
• Russian Language Malspam Pushing Redaman Banking Malware (Palo Alto)
• TrojanSpy.Win32.REDAMAN.AE (Trend Micro)
• RTM (Mitre ATT&CK)
• RTM (Malpedia)