Das Internet Storm Center meldet heute einen alten Bekannten zurück auf der Bildfläche “Retefe is back in town”
Erneute Vorkommen dieses besonders perfiden Banking-Trojaners wurden aus Österreich, der Schweiz, Schweden und Japan vermeldet. Die Verbreitung findet in gewohnter Manier via Spam-Email statt. Im Anhang befindet sich ein Zip-File mit JavaScript-Code. Dieser Code lädt dann den eigentlichen Schadcode nach. Betroffen davon sind Windows-Systeme.
Retefe installiert ein gefälschtes Sicherheitszertifikat auf dem betroffenen PC, nachdem er zuvor störende Prozesse mittels taskkill abgeschossen hat. Zusätzlich wird ein DNS Server samt Proxy eingerichtet, der zukünftige Anfragen auf das Banking-Portal übernimmt. Aufgrund des installierten und signierten Zertifikats sieht das im Browser für den Nutzer wie eine normale gesicherte Verbindung aus. Ist ein Android-Gerät greifbar, wird diesem ein Trojaner untergejubelt, der einen von der Bank per SMS versandten Zugangstoken automatisch abgreifen kann.
Da sich Retefe nach Einrichtung dieser Manipulation selbst löscht, fällt es Virenscannern schwer, eine Infektion zu erkennen — es ist ja kein Schadcode aktiv oder auf dem System gespeichert.
Also ein weiterer Grund, den Posteingang kritisch zu begutachten und im Zweifel Dateianhänge ungeöffnet zu löschen. Datenschutz- und Informationssicherheitsbeauftragte sollte Ihre Anwender über diese neue Bedrohung im Rahmen der üblichen Sensibilisierungskanäle zeitnah informieren.