Beiträge

Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da

Das Internet Storm Center mel­det heu­te einen alten Bekannten zurück auf der Bildfläche “Retefe is back in town”

Erneute Vorkommen die­ses beson­ders per­fi­den Banking-Trojaners wur­den aus Österreich, der Schweiz, Schweden und Japan ver­mel­det. Die Verbreitung fin­det in gewohn­ter Manier via Spam-Email statt. Im Anhang befin­det sich ein Zip-File mit JavaScript-Code. Dieser Code lädt dann den eigent­li­chen Schadcode nach. Betroffen davon sind Windows-Systeme.

Retefe instal­liert ein gefälsch­tes Sicherheitszertifikat auf dem betrof­fe­nen PC, nach­dem er zuvor stö­ren­de Prozesse mit­tels taskkill abge­schos­sen hat. Zusätzlich wird ein DNS Server samt Proxy ein­ge­rich­tet, der zukünf­ti­ge Anfragen auf das Banking-Portal über­nimmt. Aufgrund des instal­lier­ten und signier­ten Zertifikats sieht das im Browser für den Nutzer wie eine nor­ma­le gesi­cher­te Verbindung aus. Ist ein Android-Gerät greif­bar, wird die­sem ein Trojaner unter­ge­ju­belt, der einen von der Bank per SMS ver­sand­ten Zugangstoken auto­ma­tisch abgrei­fen kann.

Da sich Retefe nach Einrichtung die­ser Manipulation selbst löscht, fällt es Virenscannern schwer, eine Infektion zu erken­nen — es ist ja kein Schadcode aktiv oder auf dem System gespei­chert.

Also ein wei­te­rer Grund, den Posteingang kri­tisch zu begut­ach­ten und im Zweifel Dateianhänge unge­öff­net zu löschen. Datenschutz- und Informationssicherheitsbeauftragte soll­te Ihre Anwender über die­se neue Bedrohung im Rahmen der übli­chen Sensibilisierungskanäle zeit­nah infor­mie­ren.