Újabb veszélyes banki vírus tarol

A Tesco Bank vezérigazgatója, Benny Higgins megerősítette, hogy néhány ügyfelük felhasználói fiókját online támadás érte, ami egyes esetekben pénzveszteséggel is járt – közölte az ESET. A BBC szerint körülbelül 40 000 felhasználó észlelt gyanús aktivitást a múlt héten, és közülük

A Tesco Bank ezért úgy döntött, hogy ideiglenesen felfüggeszti az online tranzakciók végrehajtását, de más szolgáltatásait, például a pénzfelvételt lehetővé teszi ügyfelei számára. Az ESET szakértői úgy gondolják, hogy a pénzintézet alapvető infrastruktúrája nem érintett. Rámutattak az ügy és az ESET Threat Intelligence által felfedezett Retefe trójai program közötti kapcsolatra.

Ha a felhasználót megfertőzte ez a rosszindulatú kód, és megpróbált csatlakozni a vírus által célba vett online banki szolgáltatás egyikéhez, a kártevő módosította a banki weboldalt azért,

Máshol is fertőzhet

A vizsgálat azt is kimutatja, hogy sajnos más országokban található bankok egész hosszú listája szerepel ennek a vírusnak a célkeresztjében. Korábban az Egyesült Királyság mellett Svájcban és Ausztriában volt jelen, valamint olyan népszerű szolgáltatásokat is érintett,

A támadások már 2016 februárjában kezdődtek, azonban a Retefe trójai korábban is aktív volt, pusztán más technikát használt, hogy megfertőzze az áldozatok gépeit. A fejlesztések eredményeként azóta megjelent a vírushoz köthető mobilapplikáció, és bővült a célpontok listája is.

Így terjed

Az ESET által JS/Retefe néven észlelt rosszindulatú kódot

A futtatáskor több komponenst telepít az áldozat számítógépére – a Tor nevű programot is, amely anonimitást biztosít a támadók számára –, és arra használja őket, hogy proxyszervert állítson be a célba vett banki weboldalak számára.

A Retefe létrehoz egy hamis tanúsítványt is, azt a látszatot keltve, hogy egy jól ismert igazoló hatóság (CA), a Comodo hitelesítette. Mindez nagyon bonyolulttá teszi a csalás felismerését a felhasználó számára.

Az összes főbb böngésző érintett volt, beleértve az Internet Explorert, a Mozilla Firefoxot és a Google Chrome-ot is. A program néhány esetben megpróbálta rávenni a felhasználót, hogy

– ezt az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást.

Az ESET kutatása felfedezett egy másik változatot is, JS/Retefe.B néven, némiképp különböző struktúrával. A Tor helyett a bűnözők a Tor2web szolgáltatást használták, ami lehetővé tette a kártevőnek, hogy a Tor böngésző használata nélkül is anonim maradhasson.

Hogyan deríthetjük ki, hogy megfertőzött-e minket?

Az ESET értesítette az érintett cégeket, és felajánlotta a segítségét a fenyegetés elhárításában. Emellett a felhasználóknak érdemes manuálisan is ellenőrizni a számítógépüket, vagy használhatják az ESET Retefe Checker weboldalát.

A fertőzöttségre utaló jelek:

• A rosszindulatú tanúsítvány jelenléte, amely azt a látszatot kelti, hogy a Comodo Certification Authority hitelesítette, a kibocsátó [email protected] e-mail címével.
• A rosszindulatú Proxy Automatic Configuration Script (PAC) jelenléte, ami az .onion domainre mutat.
• Az Android/Spy.Banker.EZ jelenléte az androidös eszközünkön (ez az ESET Mobile Security alkalmazásával ellenőrizhető).

Ha ezek alapján úgy tűnik, hogy megfertőzödött a készülékünk, az ESET tanácsa szerint elsőként változtassuk meg a belépési adatainkat, és nézzük meg, zajlik-e bármilyen gyanús aktivitás (pl. hamis tranzakciók az online bankfiókunkban). Ezután távolítsuk el a Proxy Automatic Configuration Scriptet (PAC), hogy ezt miként tudja megtenni, az alábbi képen látható.