Недавняя хакерская атака глобального масштаба WannaCry вновь напомнила миру о необходимости задуматься о совершенствовании информбезопасности, да и о существующей беспечности как простых пользователей, так и многих компаний, позиционирующих себя как IT. Активность киберпреступности ежегодно возрастает на 50%.
Несмотря на появление новой тенденции, выразившейся в переключении внимания организованной киберпреступности непосредственно на банки, с намерением похищать деньги у финансовых организаций, оставив счета клиентов для «любителей», нельзя забывать об угрозе перехвата логинов и паролей, применяемых для совершения транзакций через online-банкинг, как это делал троянец JS/Retefe. Одними из первых атаку на системы online banking стран Евросоюза выявили в ESET, определив, что предпринимаются попытки кражи идентификационных данных и с Facebook, Gmail, PayPal.
Клиенты ориентированного на обслуживание частных лиц Tesco Bank из Британии первыми ощутили на себе воздействие троянца. Всего зафиксировано 40 тысяч попыток совершить преступные операции, половина - завершилась кражей денег. Не менее 9 тысяч клиентов банка понесли реальный финансовый ущерб. Использовавшееся злоумышленниками ПО Retefe, незаметно для клиентов перехватывало идентификационные данные, а уж затем совершались несанкционированные транзакции. Троянец нацелен был и на Raiffeisen, и на Кредит Суисс груп, и на Барклиз, и на HSBC, а также на иные значимые Web-сервисы.
Распространение троянца Retefe, как и нашумевшего блокиратора WannaCry, осуществлялось под видом счетов на оплату, иных документов, поступавших на e-mail. Активировавшийся открытием вложения к электронному письму, вирус инсталлировал ряд компонентов, среди которых и Tor, применяя их впоследствии для конфигурации proxy на определенные ресурсы. Авторизация пользователя в системе online banking (иной целевой площадке), сопровождалась подменой страницы, куда вносились идентификационные данные, а затем и совершалась кража логина с паролем.
ПО Retefe опасен для пользователей практически всех Web browser. Иногда Retefe работает и «в партнерстве» с мобильным трояном Android/Spy.Banker.EZ, благодаря чему преодолевается защита, предполагающая двухфакторную аутентификацию.
Для «обмана» пользовательской антивирусной защиты, Retefe применяет поддельный root certificate, выдавая его за оформленный Comodo. Для проверки устройства, ESET рекомендует применить Retefe Checker.