Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da

Das Inter­net Storm Cen­ter mel­det heu­te einen alten Bekann­ten zurück auf der Bild­flä­che “Rete­fe is back in town”

Erneu­te Vor­kom­men die­ses beson­ders per­fi­den Ban­king-Tro­ja­ners wur­den aus Öster­reich, der Schweiz, Schwe­den und Japan ver­mel­det. Die Ver­brei­tung fin­det in gewohn­ter Manier via Spam-Email statt. Im Anhang befin­det sich ein Zip-File mit Java­Script-Code. Die­ser Code lädt dann den eigent­li­chen Schad­code nach. Betrof­fen davon sind Win­dows-Sys­te­me.

Rete­fe instal­liert ein gefälsch­tes Sicher­heits­zer­ti­fi­kat auf dem betrof­fe­nen PC, nach­dem er zuvor stö­ren­de Pro­zes­se mit­tels taskkill abge­schos­sen hat. Zusätz­lich wird ein DNS Ser­ver samt Pro­xy ein­ge­rich­tet, der zukünf­ti­ge Anfra­gen auf das Ban­king-Por­tal über­nimmt. Auf­grund des instal­lier­ten und signier­ten Zer­ti­fi­kats sieht das im Brow­ser für den Nut­zer wie eine nor­ma­le gesi­cher­te Ver­bin­dung aus. Ist ein Android-Gerät greif­bar, wird die­sem ein Tro­ja­ner unter­ge­ju­belt, der einen von der Bank per SMS ver­sand­ten Zugangs­to­ken auto­ma­tisch abgrei­fen kann.

Da sich Rete­fe nach Ein­rich­tung die­ser Mani­pu­la­ti­on selbst löscht, fällt es Viren­scan­nern schwer, eine Infek­ti­on zu erken­nen — es ist ja kein Schad­code aktiv oder auf dem Sys­tem gespei­chert.

Also ein wei­te­rer Grund, den Post­ein­gang kri­tisch zu begut­ach­ten und im Zwei­fel Datei­an­hän­ge unge­öff­net zu löschen. Daten­schutz- und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te soll­te Ihre Anwen­der über die­se neue Bedro­hung im Rah­men der übli­chen Sen­si­bi­li­sie­rungs­ka­nä­le zeit­nah infor­mie­ren.