Компания ESET - лидер в области проактивного обнаружения - сообщает о создании бесплатного инструмента для выявления вредоносного банковского трояна Retefe. Жертвами программы уже стали тысячи клиентов британского банка Tesco Bank, а также в списке целей атак были несколько других банков.
Угроза перенаправляет жертв на фальшивые страницы банков для кражи учетных данных пользователей. В некоторых случаях вредоносная программа путем обмана заставляет пользователей устанавливать мобильный компонент, необходимый для обхода двухфакторной аутентификации.
Вредоносный код, который продукты ESET обнаруживают как JS/Retefe, распространяется с помощью фальшивых вложений электронной почты под видом заказов или счетов на товары. После запуска угроза устанавливает несколько компонентов, включая программу Tor для обеспечения анонимности в сети Интернет и используя ее для настройки модуля доступа к сайтам банков.
Для усложнения обнаружения Retefe также добавляет поддельный корневой сертификат, который якобы выдан и проверен известным органом по сертификации - Comodo.
Угроза уже не впервые оказалась в поле зрения исследователей. Впервые троян был зафиксирован службой ESET Threat Intelligence в феврале 2016 года. Тогда угроза привлекла внимание благодаря атакам на клиентов банков Великобритании.
На сегодня киберпреступники добавили к вредоносной программе мобильный компонент и расширили список потенциальных жертв. В частности, среди целей атак оказались крупные банки Великобритании, Швейцарии, Австрии, а также популярные сервисы, такие как Facebook и PayPal.
Пользователи могут проверить собственные устройства на наличие вредоносного банковского трояна с помощью инструмента Retefe Checker. Также специалисты ESET определили показатели, которые помогут выявить данную вредоносную программу вручную:
1. Наличие одного из вредоносных корневых сертификатов, которые якобы выданы поставщиком сертификатов Comodo, с указанным адресом центра выдачи me@myhost.mydomain:
При использовании браузера Mozilla Firefox перейдите к Менеджеру сертификатов:
В других браузерах необходимо пересмотреть всю систему корневых сертификатов, установленных через MMC (Microsoft Management Console):
Встречаются два сертификата с такими данными:
- Серийный номер: 00: A6: 1D: 63: 2C: 58: CE: AD: C2
- Действительный с: вторника, 5 июля 2016
- Действительный по: пятницу, 3 декабря 2026
- Центр выдачи: me@myhost.mydomain, COMODO Certification Authority
и
- Серийный номер: 00: 97: 65: C4: BF: E0: AB: 55: 68
- Действительный с: понедельника, 15 февраля 2016
- Действительный по: четверг, 12 Февраль 2026
- Центр выдачи: me@myhost.mydomain, COMODO Certification Authority
2. Наличие вредоносного сценария Proxy Automatic Configuration (PAC), который указывает на домен .onion
http: //%onionDomain%/%random%.js? ip =% publicIP%, где
-% OnionDomain% является доменом onion, который выбран случайно из конфигурационного файла
-% Random% является строкой из 8 символов алфавита A-Za-z0-9
-% PublicIP% является публичным IP-адресом пользователя.
Например: http: //e4loi7gufljhzfo4.onion.link/xvsP2YiD.js ф = 100.10.10.100.
3. Наличие Android/Spy.Banker.EZ на Вашем устройстве Android (можно проверить с помощью ESET Mobile Security).
В случае обнаружения пользователем одного из этих показателей специалисты ESET рекомендуют:
1. Удалить сценарий Proxy Automatic Configuration (PAC):
2. Удалить вышеупомянутые сертификаты.
3. Изменить учетные данные входа, а также проверить наличие подозрительных операций Интернет-банкинга.
Для проактивной защиты необходимо использовать надежные антивирусные решения с защитой онлайн-платежей для компьютеров и мобильных устройств.
Список целей
*.facebook.com *lloydstsb.com
*.bankaustria.at *natwest.com
*.bawag.com *nkb.ch
*.bawagpsk.com *nwolb.com
*.bekb.ch *oberbank.at
*.bkb.ch *owkb.ch
*.clientis.ch *postfinance.ch
*.credit-suisse.com *rbsdigital.com
*.easybank.at *sainsburysbank.co.uk
*.eek.ch *santander.co.uk
*.gmx.at *shkb.ch
*.gmx.ch *smile.co.uk
*.gmx.com *szkb.ch
*.gmx.de *tescobank.com
*.gmx.net *ulsterbankanytimebanking.co.uk
*.if.com *valiant.ch
*.lukb.ch *wir.ch
*.onba.ch *zuercherlandbank.ch
*.paypal.com accounts.google.com
*.raiffeisen.at clientis.ch
*.raiffeisen.ch cs.directnet.com
*.static-ubs.com e-banking.gkb.ch
*.ubs.com eb.akb.ch
*.ukb.ch ebanking.raiffeisen.ch
*.urkb.ch hsbc.co.uk
*.zkb.ch login.live.com
*abs.ch login.yahoo.com
*baloise.ch mail.google.com
*barclays.co.uk netbanking.bcge.ch
*bcf.ch onlinebusiness.lloydsbank.co.uk
*bcj.ch tb.raiffeisendirect.ch
*bcn.ch uko.ukking.co.uk
*bcv.ch urkb.ch
*bcvs.ch www.banking.co.at
*blkb.ch www.hsbc.co.uk
*business.hsbc.co.uk www.oberbank-banking.at
*cahoot.com www.sec.ebanking.zugerkb.ch
*cash.ch
*cic.ch
*co-operativebank.co.uk
*glkb.ch
*halifax-online.co.uk
*halifax.co.uk
*juliusbaer.com
*lloydsbank.co.uk