Wie funktioniert Retefe?
Wie nzz.ch berichtete, verbreitet sich die Schadsoftware über E-Mail-Anhänge mit Zip.Dateien. Dabei stehen vor allem Windows-Nutzer im Focus. Wir die Zip.Datei unvorsichtigerweise geöffnet nimmt das Unheil seinen Lauf.
Der Schädling gelangt auf den Rechner und installiert ein Zertifikat. Der unbedarfte Nutzer gelangt danach nicht zu seiner Bankwebsite sondern er landet auf der Fake-Site der Kriminellen. Der von der Bank per SMS versandte Token wird abgefangen und so die Zwei-Wege-Authentifizierung lahmgelegt. Retefe ist nach wie vor schwer zu entdecken, da er sich nach „getaner Arbeit“ selbst löscht. Das bedeutet er hat seine Vorgehensweise nicht geändert.
Operation Emmental
Retefe ist ein alter Bekannter, der es, wie auf trojaner-info.de mehrfach berichtet, schon seit dem Jahr 2014 besonders auf die Alpenregion abgesehen hatte. Betroffen waren damals, nach Erkenntnissen von Trend Micro, vor allem Banken in Österreich und der Schweiz – daher stammte auch der Name „Operation Emmental“.
Die Angriffe blieben lange Zeit unentdeckt, weil Retefe sich nach der Änderung der Systemeinstellungen selbst löscht, ohne Spuren zu hinterlassen. Auch im Mai 2015 warnte Govcert.ch, das Swiss Governmental Computer Emergency, vor Retefe, der seinerzeit neben E-Banking-Nutzern auch Webshops attackierte.