_medium.jpg)
Компания ESET - лидер в области проактивного обнаружения - сообщает о создании бесплатного инструмента для выявления вредоносного банковского трояна Retefe. Жертвами программы уже стали тысячи клиентов британского банка Tesco Bank, а также в списке целей атак были несколько других банков.
Угроза перенаправляет жертв на фальшивые страницы банков для кражи учетных данных пользователей. В некоторых случаях вредоносная программа путем обмана заставляет пользователей устанавливать мобильный компонент, необходимый для обхода двухфакторной аутентификации.
Вредоносный код, который продукты ESET обнаруживают как JS/Retefe, распространяется с помощью фальшивых вложений электронной почты под видом заказов или счетов на товары. После запуска угроза устанавливает несколько компонентов, включая программу Tor для обеспечения анонимности в сети Интернет и используя ее для настройки модуля доступа к сайтам банков.
Для усложнения обнаружения Retefe также добавляет поддельный корневой сертификат, который якобы выдан и проверен известным органом по сертификации - Comodo.
Угроза уже не впервые оказалась в поле зрения исследователей. Впервые троян был зафиксирован службой ESET Threat Intelligence в феврале 2016 года. Тогда угроза привлекла внимание благодаря атакам на клиентов банков Великобритании.
На сегодня киберпреступники добавили к вредоносной программе мобильный компонент и расширили список потенциальных жертв. В частности, среди целей атак оказались крупные банки Великобритании, Швейцарии, Австрии, а также популярные сервисы, такие как Facebook и PayPal.
Пользователи могут проверить собственные устройства на наличие вредоносного банковского трояна с помощью инструмента Retefe Checker. Также специалисты ESET определили показатели, которые помогут выявить данную вредоносную программу вручную:
1. Наличие одного из вредоносных корневых сертификатов, которые якобы выданы поставщиком сертификатов Comodo, с указанным адресом центра выдачи me@myhost.mydomain:
При использовании браузера Mozilla Firefox перейдите к Менеджеру сертификатов:
В других браузерах необходимо пересмотреть всю систему корневых сертификатов, установленных через MMC (Microsoft Management Console):
Встречаются два сертификата с такими данными:
- Серийный номер: 00: A6: 1D: 63: 2C: 58: CE: AD: C2
- Действительный с: вторника, 5 июля 2016
- Действительный по: пятницу, 3 декабря 2026
- Центр выдачи: me@myhost.mydomain, COMODO Certification Authority
и
- Серийный номер: 00: 97: 65: C4: BF: E0: AB: 55: 68
- Действительный с: понедельника, 15 февраля 2016
- Действительный по: четверг, 12 Февраль 2026
- Центр выдачи: me@myhost.mydomain, COMODO Certification Authority
2. Наличие вредоносного сценария Proxy Automatic Configuration (PAC), который указывает на домен .onion
http: //%onionDomain%/%random%.js? ip =% publicIP%, где
-% OnionDomain% является доменом onion, который выбран случайно из конфигурационного файла
-% Random% является строкой из 8 символов алфавита A-Za-z0-9
-% PublicIP% является публичным IP-адресом пользователя.
Например: http: //e4loi7gufljhzfo4.onion.link/xvsP2YiD.js ф = 100.10.10.100.
3. Наличие Android/Spy.Banker.EZ на Вашем устройстве Android (можно проверить с помощью ESET Mobile Security).
В случае обнаружения пользователем одного из этих показателей специалисты ESET рекомендуют:
1. Удалить сценарий Proxy Automatic Configuration (PAC):
2. Удалить вышеупомянутые сертификаты.
3. Изменить учетные данные входа, а также проверить наличие подозрительных операций Интернет-банкинга.
Для проактивной защиты необходимо использовать надежные антивирусные решения с защитой онлайн-платежей для компьютеров и мобильных устройств.
Список целей
|
*.facebook.com *.bankaustria.at *.bawag.com *.bawagpsk.com *.bekb.ch *.bkb.ch *.clientis.ch *.credit-suisse.com *.easybank.at *.eek.ch *.gmx.at *.gmx.ch *.gmx.com *.gmx.de *.gmx.net *.if.com *.lukb.ch *.onba.ch *.paypal.com *.raiffeisen.at *.raiffeisen.ch *.static-ubs.com *.ubs.com *.ukb.ch *.urkb.ch *.zkb.ch *abs.ch *baloise.ch *barclays.co.uk *bcf.ch *bcj.ch *bcn.ch *bcv.ch *bcvs.ch *blkb.ch *business.hsbc.co.uk *cahoot.com *cash.ch *cic.ch *co-operativebank.co.uk *glkb.ch *halifax-online.co.uk *halifax.co.uk *juliusbaer.com *lloydsbank.co.uk |
*lloydstsb.com *natwest.com *nkb.ch *nwolb.com *oberbank.at *owkb.ch *postfinance.ch *rbsdigital.com *sainsburysbank.co.uk *santander.co.uk *shkb.ch *smile.co.uk *szkb.ch *tescobank.com *ulsterbankanytimebanking.co.uk *valiant.ch *wir.ch *zuercherlandbank.ch accounts.google.com clientis.ch cs.directnet.com e-banking.gkb.ch eb.akb.ch ebanking.raiffeisen.ch hsbc.co.uk login.live.com login.yahoo.com mail.google.com netbanking.bcge.ch onlinebusiness.lloydsbank.co.uk tb.raiffeisendirect.ch uko.ukking.co.uk urkb.ch www.banking.co.at www.hsbc.co.uk www.oberbank-banking.at www.sec.ebanking.zugerkb.ch |
