病毒预报  第八百七十九期

国家计算机病毒应急处理中心通过对互联网的监测，发现名为“RTM”银行木马背后的组织在攻击活动中加入了“Quoter”勒索软件。该勒索软件可以窃取和加密受害者数据，并威胁受害者如不支付赎金则会公布窃取到的重要数据，形成对受害者的“三重威胁”，目的是获取经济利益。 此次攻击活动开始于2019年中期，目前仍在持续进行中。攻击者通过以“Subpoena（传票）”、“Request for refund（退款请求）”、“Closing documents（关闭文件）”、“Copies of documents for the last month（上个月的文件副本）”为主题的恶意电子邮件进行攻击。电子邮件的正文较为简短，要求受害者打开附件以获得更多信息。受害者打开附件后，则会安装“RTM”银行木马（Trojan-Banker.Win32.RTM）。“RTM”银行木马是一种较为流行的银行木马，专门为记账软件创建，可以通过窃取登陆凭证和劫持在线银行会话的方式，访问受害者的金融账户和资产。当受感染受害者在试图进行支付或转账时，“RTM”银行木马会替换账户信息，或者利用远程访问工具手动窃取资金。 “双重勒索”的出现和快速发展，使得受害者被迫支付赎金的可能性大幅提高。此次攻击活动中出现银行木马和勒索软件相结合的“三重勒索”的形式可能会成为今后攻击活动的发展趋势。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心