Beiträge

Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da

Das Internet Storm Center mel­det heu­te einen alten Bekannten zurück auf der Bildfläche “Retefe is back in town”

Erneute Vorkommen die­ses beson­ders per­fi­den Banking-Trojaners wur­den aus Österreich, der Schweiz, Schweden und Japan ver­mel­det. Die Verbreitung fin­det in gewohn­ter Manier via Spam-Email statt. Im Anhang befin­det sich ein Zip-File mit JavaScript-Code. Dieser Code lädt dann den eigent­li­chen Schadcode nach. Betroffen davon sind Windows-Systeme.

Retefe instal­liert ein gefälsch­tes Sicherheitszertifikat auf dem betrof­fe­nen PC, nach­dem er zuvor stö­ren­de Prozesse mit­tels taskkill abge­schos­sen hat. Zusätzlich wird ein DNS Server samt Proxy ein­ge­rich­tet, der zukünf­ti­ge Anfragen auf das Banking-Portal über­nimmt. Aufgrund des instal­lier­ten und signier­ten Zertifikats sieht das im Browser für den Nutzer wie eine nor­ma­le gesi­cher­te Verbindung aus. Ist ein Android-Gerät greif­bar, wird die­sem ein Trojaner unter­ge­ju­belt, der einen von der Bank per SMS ver­sand­ten Zugangstoken auto­ma­tisch abgrei­fen kann.

Da sich Retefe nach Einrichtung die­ser Manipulation selbst löscht, fällt es Virenscannern schwer, eine Infektion zu erken­nen — es ist ja kein Schadcode aktiv oder auf dem System gespei­chert.

Also ein wei­te­rer Grund, den Posteingang kri­tisch zu begut­ach­ten und im Zweifel Dateianhänge unge­öff­net zu löschen. Datenschutz- und Informationssicherheitsbeauftragte soll­te Ihre Anwender über die­se neue Bedrohung im Rahmen der übli­chen Sensibilisierungskanäle zeit­nah infor­mie­ren.

Der Poseidon-Support

Seit über einem Jahrzehnt soll eine Hacker-Gruppe unter dem Namen Poseidon mit maß­ge­schnei­der­te Attacken mehr oder weni­ger unent­deckt Comptersysteme von Behörden und Unternehmen infil­trie­ren. Sicherheitsexperten von Kaspersky haben ver­schie­de­ne Hinweise erhal­ten und zusam­me­ge­fügt. So soll Poseidon min­de­stens seit 2005 Ihr Unwesen trei­ben. Hauptziele sind wohl die Bereiche Finanzen, PR und Medien, sowie staat­li­che Einrichtungen. Mindestens 35 erfolg­rei­che Infektionen wur­den bis­her nach­ge­wie­sen. Die Analyse erweist sich als recht kom­plex, da die Gruppe ihre Spuren sehr gut ver­wischt.

Die Vorgehensweise von Poseidon

Zu Beginn ste­hen per­so­na­li­sier­te Emails mit prä­pa­rier­ten Word- und RTF-Datei-Anhängen. Werden die­se geöff­net, geschieht die Infektion mit­tels Makros. Nun sam­melt die Malware Zugangsdaten, aber auch Informationen aus den Gruppenrichtlinien. Diese wer­den an den Steuerungsserver von Poseidon gesendt. Auf Basis der durch den ersten Hack gesam­mel­ten Informationen wer­den nun ziel­ge­rich­tet Trojaner ent­wickelt und ein­ge­setzt, um die Organisation wei­ter zu infil­trie­ren.

Im Anschluss wird den Betroffenen “Support” sei­tens der Hacker-Gruppe Poseidon ange­bo­ten. Getarnt als Sicherheitsberater soll das betrof­fe­ne Netzwerk gerei­nigt wer­den. Gibt sich die betrof­fe­ne Organisation unein­sich­tig, wer­den die vor­her durch den Hack abge­zo­ge­nen Informationen als Druckmittel ein­ge­setzt.

Wieso Poseidon?

Laut eines Berichts von heise.de nutz­te die Hacker-Gruppe ein Satellitensystem, das der Kommunikation in der Seefahrt dient. Da lag es nahe, den Namen des grie­chi­schen Meeresgottes aus­zu­wäh­len.

Welche Systeme sind betrof­fen?

Zum Zeitpunkt des Erscheinens des Artikels sol­len alle Versionen von Widows 95 bis Windows 8.1 anfäl­lig sein. Da die Trojaner wei­ter­ent­wickelt wer­den, soll­te man sich nach einem Umstieg auf Windows 10 nicht zu sicher füh­len.

Was kann ich tun?

Vorbeugend soll­ten — wie auch im Rahmen der aktu­el­len Bedrohung durch Ransomware wie Teslacrypt und Locky — alle Mitarbeiter kon­ti­nu­ier­lich für das Thema Risiko durch infi­zier­te Dateianhänge sen­si­bi­li­siert wer­den. Auch Quarantäne-Zonen für Anhänge kön­nen ein pro­ba­tes Mittel sein, das Risiko zumin­dest zu mini­mie­ren.