Verschlüsselung & Datensicherheit

Malware Retefe hat Bankkunden im Visier

Es waren Kunden der Tesco Bank, die durch die Malware Retefe angegriffen wurden und dabei viel Geld verloren. Kundendaten, das heißt Online-Banking-Anmeldeinformationen von Nutzern,  wurden auf einer Zielliste der Retefe-Malware gefunden. Da die Zielliste auch andere Banken umfasst, besteht eine generelle Gefährdung.

Verdächtige Transaktionen bei 40.000 Kunden

Die Angriffe wurden laut welivesecurity.com durch den Tesco Bank Chief Executive Benny Higgins bestätigt, er kommentierte dazu:

“Wir können bestätigen, dass am Wochenende einige der Kundenkonten kriminellen Online-Aktivitäten unterlagen. In einigen Fällen konnten die Kriminellen Geld ergaunern.”

Auch BBC berichtete über verdächtige Transaktionen bei 40.000 Kunden über das Wochenende. Dabei soll die Hälfte der Transaktionen mit Geld Diebstahl verbunden gewesen sein.

Die Tesco Bank, die mittlerweile mit den Behörden zusammenarbeitet, hat sich dazu entschlossen, Online-Transaktionen bei Girokonten vorübergehend einzufrieren. Die anderen Dienstleistungen wie Bargeldabhebungen, Chip- und PIN-Zahlungen sowie andauernde Lastschriften funktionieren weiterhin. In diesem Zusammenhang geht man davon aus, dass Kerninfrastruktur nicht beeinträchtigt wurde.

Trojaner Retefe hat weitere Banken im Visier

Der Trojaner Retefe, der von ESET Threat Intelligence Services und der aktiven Malwareüberwachung enttarnt wurde, soll auch zahlreiche andere Banken in anderen Ländern im Visier haben. Die derzeitigen Erkenntnisse weisen darauf hin, dass Retefe bereits  im Februar 2016 aktiv war, wenn auch mit anderen Techniken.

Wie erfolgt die Infektion mit der Malware?

Dazu heißt es, dass der schädliche Code, der von ESET als JS/Retefe erkannt wird, in der Regel als E-Mail-Anhang verbreitet wird. Meist gibt die Mail vor, eine Rechnung von einem Versandhandel zu beinhalten. Sobald der boshafte Anhang ausgeführt wird, werden mehrere Komponenten einschließlich des Anonymisierungsdiensts Tor installiert. Man verwendet diese, um einen Proxy für ausgewählte Banking-Seiten zu konfigurieren.

Retefe verfügt über ein gefälschtes Wurzelzertifikat. Es erweckt den Anschein, als sei es von der wohlbekannten Zertifizierungsstelle Comodo herausgegeben und überprüft worden. Aus Anwenderperspektive lässt sich der Betrug nur sehr schwer erkennen.

Malware um mobile Anwendung erweitert

Alle wichtigen Browser, darunter Internet Explorer, Mozilla Firefox und Google Chrome sind betroffen. In einigen Fällen versuchte die Malware, dem Benutzer die Installation einer mobilen Anwendung einzureden. ESET erkennt diese Bedrohung als Android / Spy.Banker.EZ. Die App wurde verwendet, um die Zwei-Faktor-Authentifizierung zu umgehen.

ESET-Forscher haben auch eine andere Variante JS / Retefe.B, mit einer etwas schlankeren Struktur erkannt. Anstatt Tor zu benutzen, entschieden sich die Cyberkriminellen für den Tor2web-Dienst, der

es der Malware gestattete, ohne die Verwendung des Tor-Browsers auf den Anonymisierungsdienst zurückzugreifen.

Retefe ist in der Vergangenheit schon mal auf dem Radar der Sicherheits-Forscher gewesen. Zuletzt waren britischen Bankkunden ins Visier der Cyber-Kriminellen geraten. Seitdem wurde der Malware die mobile Anwendung hinzugefügt und die Zielliste erweitert.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben