Перейти к публикации
1
1
1
1
1
RabbitRun

Хак-группа RTM атакует российские компании, использующие «1С:Предприятие 8»

Рекомендованные сообщения

Аналитики компании ESET подготовили развернутый отчет (PDF) о деятельности хакерской группы RTM, чья основная цель — системы ДБО (Дистанционное банковское обслуживание). Группировка активна как минимум с 2015 года. Для своих операций хакеры используют написанную на Delphi малварь, которая позволяет следить за жертвами различными способами, от перехватывания нажатий клавиш, до обнаружения подключенных к системе смарт-карт. В основном жертвами RTM становятся компании из России, Германии, Казахстана, Украины и Чешской республики.

Capture.png

 

Исследователи рассказывают, что вредоносное ПО группировки проникает в системы жертв по-разному. За прошедшие годы хакеры использовали самые разные механизмы заражения, от наборов экплоитов, до вредоносных документов Microsoft Word.

Capture2.png

Помимо шпионских модулей малварь имеет и специальный модуль для поиска в зараженной системе установки «1С:Предприятие 8». Дело в том, что именно 1С и является основной целью злоумышленников, так как программа используется не просто для ведения бухгалтерского учета, но и сообщается с системами ДБО.

Обнаружив в системе «1С:Предприятие 8», малварь запрашивает файл 1c_to_kl.txt, содержащий платежные реквизиты (см. верхнюю иллюстрацию), которые используются в ходе выполнения платежных поручений для систем ДБО. Редактируя этот обычный текстовый файл, злоумышленники могут подменить платежные реквизиты на свои, что, по словам исследователей, приносит хакерам неплохую прибыль.

Стоит отметить, что такой механизм атак нельзя назвать новым. К примеру, ранее его уже использовала группа Buhtrap а на прошлой неделе специалисты «Лаборатории Касперсого» рассказали о трояне TwoBee, который точно так же подменяет реквизиты в текстовых файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, BoomBusta сказал:

Т.е главбух переводит бабло на реквизиты, а их программным методом подменили?

Именно так. Работники многих организаций даже не смотрят на эти цифры, потому что уверены что с ними все в порядке. Действенный и эффективный способ получения денег с организаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Strelok3098 сказал:

Наверное здорово бабла поднимают.

Один перевод может иметь сумму от 5 до 6 нулей. А может быть и больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, RabbitRun сказал:

Один перевод может иметь сумму от 5 до 6 нулей. А может быть и больше.

А разве со счетами там нельзя деньги вернуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
12 часа назад, EGST сказал:

А разве со счетами там нельзя деньги вернуть?

Нет, просто не получится. А если их успели вывести то совсем не вернуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
45 минут назад, Alexdezertir сказал:

Надо будет жене об этом сказать, она как раз с 1Ской работает. Ну и новость.

Ага, прикинь переведет 200 000 рублей мошенникам и потом что с ней сделают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
18 часов назад, Reyx сказал:

Ага, прикинь переведет 200 000 рублей мошенникам и потом что с ней сделают.

Уволят максимум. Ее вины в этом не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я удивлен тем что раньше 1Ску не хакнули, она ведь жутко корявая и дырявая со всех сторон. Может быть просто монетизировать было не просто?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 10.03.2017 в 02:00, Corsair сказал:

Я удивлен тем что раньше 1Ску не хакнули, она ведь жутко корявая и дырявая со всех сторон. Может быть просто монетизировать было не просто?

Зря ругаетесь на 1С, все же продукт на рынке и скорее всего они уже исправили эту уязвимость. Компания достаточно давно существует и отвоевала себе почти всю долю софта для предприятий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не атакует, а через юзверей кидает им трояны. После чего собирает денюжку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...