По данным «Лаборатории Касперского», банковские троянцы Buhtrap и RTM активно нападают пользователей, при этом около 90% попыток заражения пришлись на Россию (0,4% интернет-пользователей в стране).
Цель преступников – кража денег со счетов юридических лиц. В частности, за неполные 2 месяца 2019 года защитными решениями компании были замечены попытки заражения Buhtrap приблизительно на 200 устройствах, в 2018 году данный показатель составил более трёх тысяч. Атаки RTM были заблокированы более чем у 30 тысяч пользователей (в 2018 – почти 140 тысяч пользователей). Значительный рост числа атак этих двух видов корпоративных троянцев начался в III квартале 2018-го года, и с тех пор их интенсивность остается со знанием дела.
Количество пользователей, атакованных банковскими троянцами RTM и Buhtrap в 2018 году. Банковские троянцы Buhtrap и RTM нацелены на малый и средний бизнес. Злоумышленников прежде всего интересуют бухгалтеры, а среди профессиональных сфер – информационные технологии, предпочтительно региональные компании, юриспруденция и малое производство.
Buhtrap распространяется через эксплойты, внедрённые в новостные сайты, при условии, что используется браузер Internet Explorer. При загрузке вредоносного скрипта с заражённого ресурса применяется шифрованный протокол WebSocket, что затрудняет анализ и позволяет обойти детектирование объекта за счет некоторых защитных решений. Вредоносное ПО распространяется с применением уязвимости, общеизвестной с 2018 года.
Зловред RTM нападает пользователей посредством фишинговых рассылок. Темы и тексты известий содержат информацию, отличительную для переписки с финансовыми структурами: например, «Заявка на возврат», «Копии документов за бывший месяц» или «Просьба уплатить дебиторскую задолженность». Заражение происходит после перехода по ссылке или открытия вложения.