Троянец Retefe: атака на банки и сетевые сервисы
Эксперты компании ESET выявили масштабную атаку на клиентов европейских банков (систем онлайн-банкинга), а также на пользователей Facebook, Gmail, PayPal и других сервисов. Для кражи данных злоумышленники используют троянца JS/Retefe.
Первыми жертвами кампании стали в начале ноября клиенты британского Tesco Bank. Проведено около 40 тыс. мошеннических операций, 20 тыс. из которых привели к краже средств. Банк подтвердил, что пострадали 9000 клиентов. Атака на Tesco Bank, как установили специалисты ESET, проведена при помощи ПО Retefe. Программа перехватывает логины и пароли пользователей онлайн-банкинга, которые затем используются для несанкционированных транзакций. Анализ троянца показал, что под прицелом также Raiffeisen, Credit Suisse, Barclays, HSBC, другие финансовые учреждения и крупные Web-сервисы.
Вредоносная кампания была запущена не позднее февраля 2016 года. До этого троянец Retefe также был активен, но для заражения компьютеров потенциальных жертв использовались иные методы. В настоящее время Retefe распространяется во вложениях электронной почты под видом счета-фактуры и других документов. После запуска на компьютере жертвы он устанавливает несколько компонентов, включая Tor, и использует их для настроек прокси для необходимых ему сайтов. Когда пользователь авторизуется в онлайн-банке или на другой целевой площадке с зараженного ПК, троянец подменяет страницу и перехватывает логин и пароль.
Атака затронула пользователей всех популярных браузеров, включая Internet Explorer, Mozilla Firefox и Google Chrome. В некоторых случаях Retefe работает «в паре» с мобильным компонентом для планшетов и смартфонов Android/Spy.Banker.EZ, чтобы обойти двухфакторную аутентификацию.
Retefe использует поддельный корневой сертификат, замаскированный под легитимный, выданный известным поставщиком сертификатов Comodo.
Список целей хакеров опубликован на сайте ESET. Компания рекомендует пользователям, вводившим логины и пароли на этих ресурсах, проверить свой компьютер при помощи индикаторов заражения или бесплатной утилиты Retefe Checker.