Újabb veszélyes banki vírus tarol

hacker, kiberbűnözés
MODEL RELEASED. Cyber crime, conceptual image.
Vágólapra másolva!
Múlt héten a Tesco Bank 20 ezer ügyfelének pénzét lopták el kiberbűnözők az Egyesült Királyságban. A támadók ehhez a Retefe nevű vírust vetették be: ez egy olyan trójai, ami a felhasználók online banki belépési adatait próbálja megszerezni a tranzakciók végrehajtásához. A vírus más országokban is megjelenhet.
Vágólapra másolva!

A Tesco Bank vezérigazgatója, Benny Higgins megerősítette, hogy néhány ügyfelük felhasználói fiókját online támadás érte, ami egyes esetekben pénzveszteséggel is járt – közölte az ESET. A BBC szerint körülbelül 40 000 felhasználó észlelt gyanús aktivitást a múlt héten, és közülük

körülbelül 20 000 főnek lopták el a pénzét.

A Tesco Bank ezért úgy döntött, hogy ideiglenesen felfüggeszti az online tranzakciók végrehajtását, de más szolgáltatásait, például a pénzfelvételt lehetővé teszi ügyfelei számára. Az ESET szakértői úgy gondolják, hogy a pénzintézet alapvető infrastruktúrája nem érintett. Rámutattak az ügy és az ESET Threat Intelligence által felfedezett Retefe trójai program közötti kapcsolatra.

Ha a felhasználót megfertőzte ez a rosszindulatú kód, és megpróbált csatlakozni a vírus által célba vett online banki szolgáltatás egyikéhez, a kártevő módosította a banki weboldalt azért,

hogy begyűjthesse a belépési adatokat.

Máshol is fertőzhet

A vizsgálat azt is kimutatja, hogy sajnos más országokban található bankok egész hosszú listája szerepel ennek a vírusnak a célkeresztjében. Korábban az Egyesült Királyság mellett Svájcban és Ausztriában volt jelen, valamint olyan népszerű szolgáltatásokat is érintett,

mint a Facebook és a Paypal.

A Retefe máshol is támadhat Forrás: SCIENCE PHOTO LIBRARY

A támadások már 2016 februárjában kezdődtek, azonban a Retefe trójai korábban is aktív volt, pusztán más technikát használt, hogy megfertőzze az áldozatok gépeit. A fejlesztések eredményeként azóta megjelent a vírushoz köthető mobilapplikáció, és bővült a célpontok listája is.

Így terjed

Az ESET által JS/Retefe néven észlelt rosszindulatú kódot

általában e-mail csatolmányokban terjesztik, rendelésnek, számlának vagy egy egyszerű fájlnak álcázva.

A futtatáskor több komponenst telepít az áldozat számítógépére – a Tor nevű programot is, amely anonimitást biztosít a támadók számára –, és arra használja őket, hogy proxyszervert állítson be a célba vett banki weboldalak számára.

A Retefe létrehoz egy hamis tanúsítványt is, azt a látszatot keltve, hogy egy jól ismert igazoló hatóság (CA), a Comodo hitelesítette. Mindez nagyon bonyolulttá teszi a csalás felismerését a felhasználó számára.

Banki adatokat, pénzt szipkáz a Retefe Forrás: AFP

Az összes főbb böngésző érintett volt, beleértve az Internet Explorert, a Mozilla Firefoxot és a Google Chrome-ot is. A program néhány esetben megpróbálta rávenni a felhasználót, hogy

telepítse a malware mobilapplikációját

– ezt az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást.

Az ESET kutatása felfedezett egy másik változatot is, JS/Retefe.B néven, némiképp különböző struktúrával. A Tor helyett a bűnözők a Tor2web szolgáltatást használták, ami lehetővé tette a kártevőnek, hogy a Tor böngésző használata nélkül is anonim maradhasson.

Hogyan deríthetjük ki, hogy megfertőzött-e minket?

Az ESET értesítette az érintett cégeket, és felajánlotta a segítségét a fenyegetés elhárításában. Emellett a felhasználóknak érdemes manuálisan is ellenőrizni a számítógépüket, vagy használhatják az ESET Retefe Checker weboldalát.

A fertőzöttségre utaló jelek:

  • A rosszindulatú tanúsítvány jelenléte, amely azt a látszatot kelti, hogy a Comodo Certification Authority hitelesítette, a kibocsátó me@myhost.mydomain e-mail címével.
  • A rosszindulatú Proxy Automatic Configuration Script (PAC) jelenléte, ami az .onion domainre mutat.
  • Az Android/Spy.Banker.EZ jelenléte az androidös eszközünkön (ez az ESET Mobile Security alkalmazásával ellenőrizhető).

Ha ezek alapján úgy tűnik, hogy megfertőzödött a készülékünk, az ESET tanácsa szerint elsőként változtassuk meg a belépési adatainkat, és nézzük meg, zajlik-e bármilyen gyanús aktivitás (pl. hamis tranzakciók az online bankfiókunkban). Ezután távolítsuk el a Proxy Automatic Configuration Scriptet (PAC), hogy ezt miként tudja megtenni, az alábbi képen látható.

Az utolsó lépés Forrás: ESET
Google News
A legfrissebb hírekért kövess minket az Origo Google News oldalán is!