ESET: Атака трояна JS/Retefe зацепила клиентов онлайн-банкинга, пользователей Facebook, Gmail и PayPal

Недавняя хакерская атака глобального масштаба WannaCry вновь напомнила миру о необходимости задуматься о совершенствовании информбезопасности, да и о существующей беспечности как простых пользователей, так и многих компаний, позиционирующих себя как IT.  Активность киберпреступности ежегодно возрастает на 50%.

Несмотря на появление новой тенденции, выразившейся в переключении внимания организованной киберпреступности непосредственно на банки, с намерением похищать деньги у финансовых организаций, оставив счета клиентов для «любителей», нельзя забывать об угрозе перехвата логинов и паролей, применяемых для совершения транзакций через  online-банкинг, как это делал троянец JS/Retefe. Одними из первых атаку на системы online banking стран Евросоюза выявили в ESET, определив, что предпринимаются попытки кражи идентификационных данных и с Facebook, Gmail, PayPal.

Клиенты ориентированного на обслуживание частных лиц Tesco Bank из Британии первыми ощутили на себе воздействие троянца. Всего зафиксировано 40 тысяч попыток совершить преступные операции, половина - завершилась кражей денег. Не менее 9 тысяч клиентов банка понесли реальный финансовый ущерб. Использовавшееся злоумышленниками ПО Retefe, незаметно для клиентов перехватывало идентификационные данные, а уж затем совершались несанкционированные транзакции. Троянец нацелен был и на Raiffeisen, и на Кредит Суисс груп, и на Барклиз, и на HSBC, а также на иные значимые Web-сервисы.

Распространение троянца Retefe, как и нашумевшего блокиратора WannaCry, осуществлялось под видом счетов на оплату, иных документов, поступавших на e-mail. Активировавшийся открытием вложения к электронному письму, вирус инсталлировал ряд компонентов, среди которых и Tor, применяя их впоследствии для конфигурации proxy на определенные ресурсы. Авторизация пользователя в системе online banking (иной целевой площадке), сопровождалась подменой страницы, куда вносились идентификационные данные, а затем и совершалась кража логина с паролем.

ПО Retefe опасен для пользователей практически всех Web browser. Иногда Retefe работает и «в партнерстве» с мобильным трояном Android/Spy.Banker.EZ, благодаря чему преодолевается защита, предполагающая двухфакторную аутентификацию.

Для «обмана» пользовательской антивирусной защиты, Retefe применяет поддельный root certificate, выдавая его за оформленный Comodo. Для проверки устройства, ESET рекомендует применить Retefe Checker.

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.