s0148-rtm - RunkIntel

# RTM > [!high] Trojan Bancário Especializado em Fraude contra Sistemas de Pagamento Corporativo > RTM é um malware bancário escrito em Delphi que opera desde 2015, especializado em fraudes financeiras contra empresas russas que usam sistemas de pagamento remoto. Sua técnica de manipulação de área de transferência - substituindo silenciosamente contas bancárias copiadas pelo usuário - representa ameaça direta a qualquer empresa que realize transferências bancárias de alto valor via sistemas ERP ou bancários corporativos. ## Visão Geral RTM (MITRE S0148, alias Redaman) é um malware bancário personalizado escrito em Delphi, utilizado pelo grupo criminoso homônimo [[g0048-rtm|RTM Banking Group]] desde pelo menos 2015. O grupo foca em fraudes financeiras contra empresas que usam sistemas de Remote Banking Systems (RBS), com atenção especial ao software contábil russo "1C:Enterprise 8" - padrão em departamentos financeiros de empresas de médio e grande porte na Rússia e países vizinhos. O RTM é resultado de uma tendência documentada pela ESET onde grupos criminosos bem organizados desenvolvem malware customizado altamente direcionado em vez de usar RATs genéricos, maximizando o retorno por ataque. A técnica central e mais impactante do RTM é a manipulação de área de transferência ([[t1115-clipboard-data|T1115]]): o malware monitora continuamente o clipboard em busca de padrões que correspondam a números de conta bancária ou endereços de carteiras de criptomoeda. Quando o usuário copia um desses valores para realizar uma transferência, o RTM substitui silenciosamente o valor pela conta controlada pelos atacantes - o usuário cola o número errado sem perceber. Esta técnica, combinada com acesso VNC remoto para observar as operações em tempo real, permite que os operadores do RTM interceptem transações financeiras de alto valor. O RTM utiliza mecanismos de resolução de C2 altamente resistentes à derrubada: servidores C2 são localizados via feeds RSS no Livejournal (já descontinuado) e, mais criticamente, via transações na blockchain Bitcoin e Namecoin. O malware converte dados de transações específicas na blockchain em endereços IP de servidores C2 ([[t1568-dynamic-resolution|T1568]]) - tornando práticamente impossível bloquear o C2 sem bloquear a própria rede blockchain. Versões mais recentes (públicadas como Redaman) expandiram as capacidades para além do setor bancário russo, com funcionalidades ampliadas de espionagem. O RTM é distribuído através de vários vetores: exploit kits (RIG, SUNDOWN), campanhas de spam com iscas de documentos contábeis (faturas, contratos, formulários fiscais), e anúncios maliciosos em plataformas como o Yandex.Direct. Este uso de múltiplos canais de distribuição evidência conexões com o ecossistema criminoso underground russo, onde serviços de exploit kit e spam são vendidos como commodities. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking trojan / fraude financeira corporativa | | **Linguagem** | Delphi (compilado nativo) | | **Primeira visão** | Final de 2015 | | **Status** | Ativo (variante Redaman ainda documentada) | | **MITRE ID** | S0148 | | **Plataformas** | Windows | | **Alvo principal** | Empresas com sistemas RBS (Remote Banking Software) | ## Como Funciona **Entrega por spear-phishing ou drive-by:** O RTM chega via email com documentos contábeis maliciosos (faturas, contratos de fornecedor, formulários de imposto) que exploram a confiança de funcionários do departamento financeiro. Exploit kits como RIG e SUNDOWN também distribuem o payload via sites comprometidos. O binário é empacotado em arquivos ZIP, 7-ZIP ou RAR. **Verificação anti-sandbox:** Antes de executar, o RTM verifica se está em um ambiente virtualizado ou sandbox ([[t1497-virtualizationsandbox-evasion|T1497]]) - verificando processos típicos de análise, timing de execução e presença de ferramentas de análise. Se detectado, o malware encerra sem atividade. **Persistência dupla:** O RTM estabelece persistência via chave Run no registro Windows (com nome mascarado como "Windows Update") e via Scheduled Task. Também pode realizar DLL hijacking via TeamViewer modificado para carregar a DLL maliciosa. **Monitoramento financeiro ativo:** O malware escaneia drives e processos em busca de software bancário ou contábil (especialmente "1C:Enterprise", "SBIS", software de RBS russo). Monitora o histórico do navegador via DDE ([[t1559-002-dynamic-data-exchange|T1559.002]]) procurando por URLs de sistemas bancários. **Clipboard hijacking em tempo real:** RTM monitora continuamente o clipboard. Ao detectar padrão de conta bancária ou carteira cripto, substitui instantaneamente pelo endereço do atacante antes que o usuário cole no campo de destino da transferência. **C2 via blockchain:** Comúnicação com o servidor C2 usa RC4 para cifrar o tráfego. O endereço do C2 é obtido via Dead Drop Resolver ([[t1102-001-dead-drop-resolver|T1102.001]]) decodificando transações Bitcoin/Namecoin, tornando o C2 práticamente irremovível. ## Attack Flow ```mermaid graph TB A["Spear-phishing financeiro Fatura ou contrato Delphi payload T1566.001 Spearphishing Attachment"] --> B["Verificação anti-sandbox Timing VM processo check T1497 Evasion"] B --> C["Persistência dupla Run key + Scheduled Task T1547.001 / T1053.005"] C --> D["Fingerprint do sistema Scan por software bancário T1518 Software Discovery"] D --> E["Monitoramento financeiro Clipboard hijack + keylog T1115 / T1056.001"] E --> F["C2 via blockchain Dead drop Bitcoin Namecoin T1568 / T1102.001"] F --> G["Fraude bancária VNC manual + clipboard swap Transferência redirecionada"] classDef delivery fill:#e74c3c,color:#fff classDef evasion fill:#27ae60,color:#fff classDef persist fill:#3498db,color:#fff classDef recon fill:#e67e22,color:#fff classDef collect fill:#8e44ad,color:#fff classDef c2 fill:#1abc9c,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B evasion class C persist class D recon class E collect class F c2 class G impact ``` ## Timeline ```mermaid timeline title RTM Banking Trojan - Evolução 2015 : Primeiras amostras detectadas na Rússia : Foco em Remote Banking Systems 2017 : ESET publica análise detalhada do RTM : Documentado uso de blockchain para C2 2018 : Variante Redaman identificada : Capacidades expandidas além do setor bancário 2019 : Campanha com certificados de assinatura legítimos : Código assinado para parecer software legítimo 2020 : Expansão para empresas em Alemanha e Ucrânia : FinCERT russo emite alertas para empresas 2022 : Continuação de operações documentada : Foco em empresas contábeis e financeiras 2025 : Atividade confirmada por Cyble : Operações ativas documentadas em setembro 2025 ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos contábeis maliciosos (faturas, contratos, formulários fiscais) | | Evasão | [[t1497-virtualizationsandbox-evasion\|T1497]] | Verificação de VM e sandbox antes de executar payload | | Evasão | [[t1553-002-code-signing\|T1553.002]] | Certificados de assinatura para parecer software legítimo | | Evasão | [[t1027-015-compression\|T1027.015]] | Payload em arquivos ZIP/7-ZIP/RAR | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Run key mascarada como "Windows Update" | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled task para execução persistente | | Escalonamento | [[t1548-002-bypass-user-account-control\|T1548.002]] | Engenharia social com mensagens de erro falsas e UAC prompts | | Coleta | [[t1115-clipboard-data\|T1115]] | Hijack de clipboard para substituir contas bancárias | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging incluindo teclados virtuais | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots automáticos quando detecta software bancário | | C2 | [[t1568-dynamic-resolution\|T1568]] | Resolução de C2 via blockchain Bitcoin e Namecoin | | C2 | [[t1102-001-dead-drop-resolver\|T1102.001]] | Dead drop resolver via RSS e transações blockchain | ## Grupos que Usam - [[g0048-rtm|RTM Banking Group]] - grupo criminoso russo especializado em fraude financeira corporativa ## Relevância LATAM/Brasil O RTM é altamente relevante para o Brasil por seu foco em fraudes contra sistemas de pagamento corporativos - precisamente o tipo de infraestrutura que grandes e médias empresas brasileiras utilizam. O Brasil possui um dos sistemas bancários digitais mais avançados do mundo (PIX, TED, transferências via sistemas ERP), e a técnica de manipulação de área de transferência representa uma ameaça direta para departamentos financeiros de empresas brasileiras que realizam transferências em volume. Grupos de crimes financeiros com TTPs similares ao RTM operam ativamente no Brasil, frequentemente visando sistemas contábeis como TOTVS e SAP. A técnica de clipboard hijacking, em particular, é amplamente replicada por malware bancário brasileiro e latinoamericano: trojans como [[s0531-grandoreiro|Grandoreiro]], [[s1122-mispadu|Mispadu]] e variantes locais usam a mesma abordagem para interceptar transações PIX e TED. O RTM é, portanto, referência para entender o modus operandi de grupos financeiros que ameaçam diretamente o ecossistema empresarial brasileiro. O uso do PIX no Brasil para transferências instantâneas de alto valor torna o clipboard hijacking especialmente perigoso: ao contrário de transferências tradicionais que podem ser canceladas, transações PIX são irreversíveis em segundos. ## Detecção **Fontes de dados recomendadas:** - **Process monitoring:** Monitorar acesso à área de transferência (`GetClipboardData`, `SetClipboardData` via API Windows) por processos não relacionados a aplicativos de escritório ou gerenciadores de arquivos - **Browser monitoring:** Monitorar acesso ao histórico do navegador (`FindFirstUrlCacheEntryA`, `FindNextUrlCacheEntryA`) por processos externos ao browser - **Network:** Monitorar resolução de domínios `.bit` (Namecoin) e conexões TCP para IPs derivados de transações blockchain - **Registry:** Alertar sobre criação de chaves Run com nomes similares a "Windows Update" por processos não relacionados ao sistema operacional - **File system:** Detectar binários Delphi empacotados (UPX, custom) em diretórios temporários **Regras de detecção:** - Sigma: `proc_creation_win_rtm_clipboard_access.yml` - acesso à clipboard por processos suspeitos para detecção de hijacking - YARA: `RTM_Redaman.yar` - strings RC4, estruturas Delphi e padrões de comunicação blockchain (Malpedia/Fraunhofer) - Suricata: regras de detecção de tráfego RC4 para C2 com padrões de heartbeat característicos do RTM ## Referências - [1](https://attack.mitre.org/software/S0148/) MITRE ATT&CK - S0148 RTM - [2](https://www.welivesecurity.com/2019/04/30/buhtrap-backdoor-ransomware-advertising-platform/) ESET WeLiveSecurity - RTM: A New Banking Trojan in the Wild (2017) - [3](https://cyble.com/threat-actor-profiles/rtm-group/) Cyble - RTM Cybercrime Profile Banking Trojans Tactics (2025) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.rtm) Malpedia - RTM (Redaman) malware family - [5](https://www.scworld.com/news/rtm-cyber-gang-targets-russian-businesses-that-conduct-remote-banking) SC World - RTM cyber gang targets Russian businesses remote banking (2024) - [6](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=RTM) ETDA Threat Group Cards - RTM