Летняя скидка 50% на ESET Parental Control для Android Office 365 — работайте откуда угодно в любое удобное время HP ROK - комплексное решение для обновленного модельного ряда серверов  HP ProLiant Gen9

Бесплатный инструмент для выявления банковского трояна Retefe от компании ESET

← назад к новостям

22 ноября 2016

Компания ESET - лидер в области проактивного обнаружения - сообщает о создании бесплатного инструмента для выявления вредоносного банковского трояна Retefe. Жертвами программы уже стали тысячи клиентов британского банка Tesco Bank, а также в списке целей атак были несколько других банков.

Угроза перенаправляет жертв на фальшивые страницы банков для кражи учетных данных пользователей. В некоторых случаях вредоносная программа путем обмана заставляет пользователей устанавливать мобильный компонент, необходимый для обхода двухфакторной аутентификации.

Вредоносный код, который продукты ESET обнаруживают как JS/Retefe, распространяется с помощью фальшивых вложений электронной почты под видом заказов или счетов на товары. После запуска угроза устанавливает несколько компонентов, включая программу Tor для обеспечения анонимности в сети Интернет и используя ее для настройки модуля доступа к сайтам банков.

Для усложнения обнаружения Retefe также добавляет поддельный корневой сертификат, который якобы выдан и проверен известным органом по сертификации - Comodo.

Угроза уже не впервые оказалась в поле зрения исследователей. Впервые троян был зафиксирован службой ESET Threat Intelligence в феврале 2016 года. Тогда угроза привлекла внимание благодаря атакам на клиентов банков Великобритании.

На сегодня киберпреступники добавили к вредоносной программе мобильный компонент и расширили список потенциальных жертв. В частности, среди целей атак оказались крупные банки Великобритании, Швейцарии, Австрии, а также популярные сервисы, такие как Facebook и PayPal.

Пользователи могут проверить собственные устройства на наличие вредоносного банковского трояна с помощью инструмента Retefe Checker. Также специалисты ESET определили показатели, которые помогут выявить данную вредоносную программу вручную:

1. Наличие одного из вредоносных корневых сертификатов, которые якобы выданы поставщиком сертификатов Comodo, с указанным адресом центра выдачи me@myhost.mydomain:

При использовании браузера Mozilla Firefox перейдите к Менеджеру сертификатов:

 

 

 

В других браузерах необходимо пересмотреть всю систему корневых сертификатов, установленных через MMC (Microsoft Management Console):

 

 

Встречаются два сертификата с такими данными:

- Серийный номер: 00: A6: 1D: 63: 2C: 58: CE: AD: C2

- Действительный с: вторника, 5 июля 2016

- Действительный по: пятницу, 3 декабря 2026

- Центр выдачи: me@myhost.mydomain, COMODO Certification Authority

и

- Серийный номер: 00: 97: 65: C4: BF: E0: AB: 55: 68

- Действительный с: понедельника, 15 февраля 2016

- Действительный по: четверг, 12 Февраль 2026

- Центр выдачи: me@myhost.mydomain, COMODO Certification Authority

 

2. Наличие вредоносного сценария Proxy Automatic Configuration (PAC), который указывает на домен .onion

http: //%onionDomain%/%random%.js? ip =% publicIP%, где

-% OnionDomain% является доменом onion, который выбран случайно из конфигурационного файла

-% Random% является строкой из 8 символов алфавита A-Za-z0-9

-% PublicIP% является публичным IP-адресом пользователя.

Например: http: //e4loi7gufljhzfo4.onion.link/xvsP2YiD.js ф = 100.10.10.100.

 

3. Наличие Android/Spy.Banker.EZ на Вашем устройстве Android (можно проверить с помощью ESET Mobile Security).

В случае обнаружения пользователем одного из этих показателей специалисты ESET рекомендуют:

1.  Удалить сценарий Proxy Automatic Configuration (PAC):

 

 

2. Удалить вышеупомянутые сертификаты.

3. Изменить учетные данные входа, а также проверить наличие подозрительных операций Интернет-банкинга.

Для проактивной защиты необходимо использовать надежные антивирусные решения с защитой онлайн-платежей для компьютеров и мобильных устройств.

Список целей

*.facebook.com

*.bankaustria.at

*.bawag.com

*.bawagpsk.com

*.bekb.ch

*.bkb.ch

*.clientis.ch

*.credit-suisse.com

*.easybank.at

*.eek.ch

*.gmx.at

*.gmx.ch

*.gmx.com

*.gmx.de

*.gmx.net

*.if.com

*.lukb.ch

*.onba.ch

*.paypal.com

*.raiffeisen.at

*.raiffeisen.ch

*.static-ubs.com

*.ubs.com

*.ukb.ch

*.urkb.ch

*.zkb.ch

*abs.ch

*baloise.ch

*barclays.co.uk

*bcf.ch

*bcj.ch

*bcn.ch

*bcv.ch

*bcvs.ch

*blkb.ch

*business.hsbc.co.uk

*cahoot.com

*cash.ch

*cic.ch

*co-operativebank.co.uk

*glkb.ch

*halifax-online.co.uk

*halifax.co.uk

*juliusbaer.com

*lloydsbank.co.uk

*lloydstsb.com

*natwest.com

*nkb.ch

*nwolb.com

*oberbank.at

*owkb.ch

*postfinance.ch

*rbsdigital.com

*sainsburysbank.co.uk

*santander.co.uk

*shkb.ch

*smile.co.uk

*szkb.ch

*tescobank.com

*ulsterbankanytimebanking.co.uk

*valiant.ch

*wir.ch

*zuercherlandbank.ch

accounts.google.com

clientis.ch

cs.directnet.com

e-banking.gkb.ch

eb.akb.ch

ebanking.raiffeisen.ch

hsbc.co.uk

login.live.com

login.yahoo.com

mail.google.com

netbanking.bcge.ch

onlinebusiness.lloydsbank.co.uk

tb.raiffeisendirect.ch

uko.ukking.co.uk

urkb.ch

www.banking.co.at

www.hsbc.co.uk

www.oberbank-banking.at

www.sec.ebanking.zugerkb.ch