A Tesco Bank vezérigazgatója, Benny Higgins megerősítette, hogy néhány ügyfelük felhasználói fiókját online támadás érte, ami egyes esetekben pénzveszteséggel is járt – közölte az ESET. A BBC szerint körülbelül 40 000 felhasználó észlelt gyanús aktivitást a múlt héten, és közülük
körülbelül 20 000 főnek lopták el a pénzét.
A Tesco Bank ezért úgy döntött, hogy ideiglenesen felfüggeszti az online tranzakciók végrehajtását, de más szolgáltatásait, például a pénzfelvételt lehetővé teszi ügyfelei számára. Az ESET szakértői úgy gondolják, hogy a pénzintézet alapvető infrastruktúrája nem érintett. Rámutattak az ügy és az ESET Threat Intelligence által felfedezett Retefe trójai program közötti kapcsolatra.
Ha a felhasználót megfertőzte ez a rosszindulatú kód, és megpróbált csatlakozni a vírus által célba vett online banki szolgáltatás egyikéhez, a kártevő módosította a banki weboldalt azért,
hogy begyűjthesse a belépési adatokat.
A vizsgálat azt is kimutatja, hogy sajnos más országokban található bankok egész hosszú listája szerepel ennek a vírusnak a célkeresztjében. Korábban az Egyesült Királyság mellett Svájcban és Ausztriában volt jelen, valamint olyan népszerű szolgáltatásokat is érintett,
mint a Facebook és a Paypal.
A támadások már 2016 februárjában kezdődtek, azonban a Retefe trójai korábban is aktív volt, pusztán más technikát használt, hogy megfertőzze az áldozatok gépeit. A fejlesztések eredményeként azóta megjelent a vírushoz köthető mobilapplikáció, és bővült a célpontok listája is.
Az ESET által JS/Retefe néven észlelt rosszindulatú kódot
általában e-mail csatolmányokban terjesztik, rendelésnek, számlának vagy egy egyszerű fájlnak álcázva.
A futtatáskor több komponenst telepít az áldozat számítógépére – a Tor nevű programot is, amely anonimitást biztosít a támadók számára –, és arra használja őket, hogy proxyszervert állítson be a célba vett banki weboldalak számára.
A Retefe létrehoz egy hamis tanúsítványt is, azt a látszatot keltve, hogy egy jól ismert igazoló hatóság (CA), a Comodo hitelesítette. Mindez nagyon bonyolulttá teszi a csalás felismerését a felhasználó számára.
Az összes főbb böngésző érintett volt, beleértve az Internet Explorert, a Mozilla Firefoxot és a Google Chrome-ot is. A program néhány esetben megpróbálta rávenni a felhasználót, hogy
telepítse a malware mobilapplikációját
– ezt az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást.
Az ESET kutatása felfedezett egy másik változatot is, JS/Retefe.B néven, némiképp különböző struktúrával. A Tor helyett a bűnözők a Tor2web szolgáltatást használták, ami lehetővé tette a kártevőnek, hogy a Tor böngésző használata nélkül is anonim maradhasson.
Az ESET értesítette az érintett cégeket, és felajánlotta a segítségét a fenyegetés elhárításában. Emellett a felhasználóknak érdemes manuálisan is ellenőrizni a számítógépüket, vagy használhatják az ESET Retefe Checker weboldalát.
A fertőzöttségre utaló jelek:
Ha ezek alapján úgy tűnik, hogy megfertőzödött a készülékünk, az ESET tanácsa szerint elsőként változtassuk meg a belépési adatainkat, és nézzük meg, zajlik-e bármilyen gyanús aktivitás (pl. hamis tranzakciók az online bankfiókunkban). Ezután távolítsuk el a Proxy Automatic Configuration Scriptet (PAC), hogy ezt miként tudja megtenni, az alábbi képen látható.