Un cheval de Troie bancaire utilise un faux certificat
Le malware Retefe a pour cible la banque Tesco et de nombreux autres services et banques. C'est ce qu'a découvert le fabricant européen de logiciels de sécurité ESET. Le cheval de Troie a été détecté par les services de renseignements sur les menaces de l'ESET.
"Le lien possible entre l'attaque massive de la Tesco Bank, où des milliers de clients ont perdu leurs économies, et le cheval de Troie bancaire Retefe est effrayant", a commenté Peter Stančík, évangéliste de la sécurité de l'ESET.
Sous sa forme actuelle, le malware JS/Retefe est actif depuis au moins février 2016. Il recherche les références bancaires des utilisateurs en ligne et les utilise ensuite à mauvais escient pour effectuer des transactions frauduleuses.
attachement malveillant
Détecté par ESET comme JS/Retefe, le code malveillant est généralement distribué sous forme de pièce jointe à un courriel. Dans la plupart des cas, le courrier prétend contenir une facture d'une société de vente par correspondance. Une fois la pièce jointe ouverte, plusieurs composants sont installés, dont le service d'anonymisation de Tor. Cette fonction permet de configurer un proxy pour certains sites bancaires.
Dans certains cas, le logiciel malveillant a tenté de tromper l'utilisateur pour qu'il installe une application mobile. ESET détecte cette menace sous le nom de Android/Spy.Banker.EZ. L'application a été utilisée pour contourner l'authentification à deux facteurs.
Faux certificat
Retefe possède un faux "certificat racine". Il donne l'impression d'avoir été délivré et vérifié par la célèbre autorité de certification Comodo. Du point de vue de l'utilisateur, la fraude est très difficile à détecter.
Les chercheurs en sécurité avaient déjà eu connaissance de Retefe dans le passé. Plus récemment, des clients de banques britanniques ont été victimes du cheval de Troie. Depuis lors, elle a ajouté d'autres éléments mobiles et élargi la liste des cibles. Parmi les institutions touchées, on trouve les grandes banques de Suisse, du Royaume-Uni et d'Autriche, ainsi que des services populaires tels que Facebook et PayPal.
"Le lien possible entre l'attaque massive de la Tesco Bank, où des milliers de clients ont perdu leurs économies, et le cheval de Troie bancaire Retefe est effrayant", a commenté Peter Stančík, évangéliste de la sécurité de l'ESET.
Il est conseillé aux utilisateurs des services concernés de vérifier manuellement certains indicateurs de compatibilité ou d'utiliser le site web automatisé Retefe Checker de l'ESET.
Un guide étape par étape peut être trouvé sur le blog ESET WeLiveSecurity sous cette Lien
