Banking-Trojaner verwendet falsches Zertifikat
Die sogenannte Retefe-Malware hat die Tesco Bank und zahlreiche weitere Banken und Services auf ihrer Zielliste. Das hat der europäische Security-Software-Hersteller ESET festgestellt. Der Trojaner wurde von den ESET Threat Intelligence Services enttarnt.
„Der mögliche Zusammenhang zwischen dem massiven Angriff auf die Tesco Bank, bei der tausende Kunden ihre Ersparnisse verloren haben, und dem Banking-Trojaner Retefe ist beängstigend“, kommentiert Peter Stančík, ESET Security Evangelist.
In seiner jetzigen Form ist die so genannte JS/ Retefe Malware mindestens seit Februar 2016 aktiv. Sie sucht nach Online-Banking-Anmeldeinformationen von Benutzern und missbraucht diese dann, um betrügerische Transaktionen durchzuführen.
Schadcode als E-Mail-Anhang
Von ESET als JS/Retefe erkannt, wird der schädliche Code in der Regel als E-Mail-Anhang verbreitet. Meist gibt die Mail vor, eine Rechnung von einem Versandhandel zu beinhalten. Sobald der Anhang geöffnet wird, werden mehrere Komponenten einschliesslich des Anonymisierungsdienstes Tor installiert. Dieser wird verwendet, um einen Proxy für ausgewählte Banking-Seiten zu konfigurieren.
In einigen Fällen versuchte die Malware, dem Benutzer die Installation einer mobilen Anwendung einzureden. ESET erkennt diese Bedrohung als Android/Spy.Banker.EZ. Die App wurde verwendet, um die Zwei-Faktor-Authentifizierung zu umgehen.
Gefälschtes Zertifikat
Retefe verfügt nämlich über ein gefälschtes „Wurzelzertifikat“. Es erweckt den Anschein, als sei es von der wohlbekannten Zertifizierungsstelle Comodo herausgegeben und überprüft worden. Aus Anwenderperspektive lässt sich der Betrug nur sehr schwer erkennen.
Sicherheitsforscher waren in der Vergangenheit bereits auf Retefe aufmerksam geworden. Zuletzt wurden Bankkunden in Grossbritannien Opfer des Trojaners. Seitdem hat er weitere mobile Komponenten hinzugefügt und die Zielliste erweitert. Zu den betroffenen Institutionen gehören unter anderem grosse Banken in der Schweiz, Grossbritannien und Österreich, sowie beliebte Dienste wie Facebook und PayPal.
„Der mögliche Zusammenhang zwischen dem massiven Angriff auf die Tesco Bank, bei der tausende Kunden ihre Ersparnisse verloren haben, und dem Banking-Trojaner Retefe ist beängstigend“, kommentiert Peter Stančík, ESET Security Evangelist.
Benutzern der betroffenen Dienste wird empfohlen, bestimmte Kompatibilitätsindikatoren manuell zu überprüfen oder die automatische Retefe-Checker-Website von ESET zu verwenden.
Eine Schritt-für-Schritt Anleitung findet sich im ESET Blog WeLiveSecurity unter diesem Link
