ЕSET представляє безкоштовний інструмент для виявлення банківського трояна Retefe

Компанія ESET - лідер у галузі проактивного виявлення - повідомляє про створення безкоштовного інструменту для виявлення небезпечного банківського трояна Retefe. Жертвами шкідливої програми вже стали тисячі клієнтів британського банку Tesco Bank, а також у списку цілей атак були кілька інших банків.

Загроза перенаправляє жертв на фальшиві сторінки банків для викрадення облікових даних користувачів. У деяких випадках шкідлива програма шляхом обману змушує користувачів інсталювати мобільний компонент, необхідний для обходу двофакторної аутентифікації.

Шкідливий код, який продукти ESET виявляють як JS/Retefe, поширюється за допомогою фальшивих вкладень електронної пошти під виглядом замовлення або рахунків на товари. Після запуску загроза встановлює кілька компонентів, включаючи програму Tor для забезпечення анонімності в мережі Інтернет та використовує її для налаштування модуля доступу до сайтів банків.

Для ускладнення виявлення Retefe також додає підроблений кореневий сертифікат, який нібито виданий і перевірений відомим органом  із сертифікації - Comodo.

Загроза вже не вперше опинилася в полі зору дослідників. Вперше троян був зафіксований службою ESET Threat Intelligence у лютому 2016 року. Тоді загроза привернула уваги завдяки атакам на клієнтів банків Великобританії.

На сьогодні кіберзлочинці додали до шкідливої програми мобільний компонент і розширили список потенційних жертв. Зокрема серед цілей атак опинилися великі банки Великобританії, Швейцарії, Австрії, а також популярні сервіси, такі як Facebook та PayPal.

Користувачі можуть перевірити власні пристрої  на наявність небезпечного банківського трояна за допомогою інструменту Retefe Checker. Також спеціалісти ESET визначили показники, які допоможуть виявити дану шкідливу програму вручну:

1. Наявність одного із шкідливих кореневих сертифікатів, які нібито видані постачальником сертифікатів Comodo, з зазначеною електронною адресою центра видачі me@myhost.mydomain:

У разі використання браузера Mozilla Firefox перейдіть до Менеджера сертифікатів:

 

 

 

В інших браузерах необхідно переглянути всю систему інстальованих кореневих сертифікатів, встановлених через MMC (Microsoft Management Console):

 

 

Зустрічаються два сертифікати з такими даними:

- Серійний номер: 00:A6:1D:63:2C:58:CE:AD:C2
- Дійсний з: вівторка, 05 липня 2016 р.
- Дійсний по: п'ятницю, 03 грудня 2026 р.
- Центр видачі: me@myhost.mydomain, COMODO Certification Authority

та

- Серійний номер: 00:97:65:C4:BF:E0:AB:55:68
- Дійсний з: понеділка, 15 лютого 2016 р.
- Дійсний по: четвер, 12 лютого 2026 р.
- Центр видачі: me@myhost.mydomain, COMODO Certification Authority

2. Наявність шкідливого сценарію Proxy Automatic Configuration (PAC), який вказує на домен .onion

http://%onionDomain%/%random%.js?ip=%publicIP%, де

- %onionDomain% є доменом  onion, який вибраний випадково з конфігураційного файлу

- %random% є рядком з 8 символів алфавіту A-Za-z0-9

- %publicIP% є публічною IP-адресою користувача.

Наприклад: http: //e4loi7gufljhzfo4.onion.link/xvsP2YiD.js ф = 100.10.10.100.

 

3. Наявність Android/Spy.Banker.EZ на Вашому пристрої Android  (можна перевірити за допомогою ESET Mobile Security).

У разі виявлення користувачем одного з цих показників спеціалісти ESET рекомендують:

1. Видалити сценарій Proxy Automatic Configuration (PAC):

 

 

2. Видалити вищезазначені сертифікати.

3. Змінити обліковані дані входу, а також перевірити наявність підозрілих операцій Інтернет-банкінгу. 

Для проактивного захисту необхідно використовувати надійні антивірусні рішення із захистом онлайн-платежів для комп'ютерів та мобільних пристроїв.

*.facebook.com

*.bankaustria.at

*.bawag.com

*.bawagpsk.com

*.bekb.ch

*.bkb.ch

*.clientis.ch

*.credit-suisse.com

*.easybank.at

*.eek.ch

*.gmx.at

*.gmx.ch

*.gmx.com

*.gmx.de

*.gmx.net

*.if.com

*.lukb.ch

*.onba.ch

*.paypal.com

*.raiffeisen.at

*.raiffeisen.ch

*.static-ubs.com

*.ubs.com

*.ukb.ch

*.urkb.ch

*.zkb.ch

*abs.ch

*baloise.ch

*barclays.co.uk

*bcf.ch

*bcj.ch

*bcn.ch

*bcv.ch

*bcvs.ch

*blkb.ch

*business.hsbc.co.uk

*cahoot.com

*cash.ch

*cic.ch

*co-operativebank.co.uk

*glkb.ch

*halifax-online.co.uk

*halifax.co.uk

*juliusbaer.com

*lloydsbank.co.uk

*lloydstsb.com

*natwest.com

*nkb.ch

*nwolb.com

*oberbank.at

*owkb.ch

*postfinance.ch

*rbsdigital.com

*sainsburysbank.co.uk

*santander.co.uk

*shkb.ch

*smile.co.uk

*szkb.ch

*tescobank.com

*ulsterbankanytimebanking.co.uk

*valiant.ch

*wir.ch

*zuercherlandbank.ch

accounts.google.com

clientis.ch

cs.directnet.com

e-banking.gkb.ch

eb.akb.ch

ebanking.raiffeisen.ch

hsbc.co.uk

login.live.com

login.yahoo.com

mail.google.com

netbanking.bcge.ch

onlinebusiness.lloydsbank.co.uk

tb.raiffeisendirect.ch

uko.ukking.co.uk

urkb.ch

www.banking.co.at

www.hsbc.co.uk

www.oberbank-banking.at

wwwsec.ebanking.zugerkb.ch