Szigetvilág

Ne maradj le semmiről!

Kapcsolatok

FacebookTwitter

Bejelentkezés

Címlap

Újabb veszélyes banki vírus tarol

Múlt héten a Tesco Bank 20 ezer ügyfelének pénzét lopták el kiberbűnözők az Egyesült Királyságban. A támadók ehhez a Retefe nevű vírust vetették be: ez egy olyan trójai, ami a felhasználók online banki belépési adatait próbálja megszerezni a tranzakciók végrehajtásához. A vírus más országokban is megjelenhet.

A Tesco Bank vezérigazgatója, Benny Higgins megerősítette, hogy néhány ügyfelük felhasználói fiókját online támadás érte, ami egyes esetekben pénzveszteséggel is járt – közölte az ESET. A BBC szerint körülbelül 40 000 felhasználó észlelt gyanús aktivitást a múlt héten, és közülük körülbelül 20 000 főnek lopták el a pénzét.

A Tesco Bank ezért úgy döntött, hogy ideiglenesen felfüggeszti az online tranzakciók végrehajtását, de más szolgáltatásait, például a pénzfelvételt lehetővé teszi ügyfelei számára. Az ESET szakértői úgy gondolják, hogy a pénzintézet alapvető infrastruktúrája nem érintett. Rámutattak az ügy és az ESET Threat Intelligence által felfedezett Retefe trójai program közötti kapcsolatra.

Ha a felhasználót megfertőzte ez a rosszindulatú kód, és megpróbált csatlakozni a vírus által célba vett online banki szolgáltatás egyikéhez, a kártevő módosította a banki weboldalt azért, hogy begyűjthesse a belépési adatokat.

Máshol is fertőzhet

A vizsgálat azt is kimutatja, hogy sajnos más országokban található bankok egész hosszú listája szerepel ennek a vírusnak a célkeresztjében. Korábban az Egyesült Királyság mellett Svájcban és Ausztriában volt jelen, valamint olyan népszerű szolgáltatásokat is érintett, mint a Facebook és a Paypal.

A támadások már 2016 februárjában kezdődtek, azonban a Retefe trójai korábban is aktív volt, pusztán más technikát használt, hogy megfertőzze az áldozatok gépeit. A fejlesztések eredményeként azóta megjelent a vírushoz köthető mobilapplikáció, és bővült a célpontok listája is.

Így terjed

Az ESET által JS/Retefe néven észlelt rosszindulatú kódot általában e-mail csatolmányokban terjesztik, rendelésnek, számlának vagy egy egyszerű fájlnak álcázva. A futtatáskor több komponenst telepít az áldozat számítógépére – a Tor nevű programot is, amely anonimitást biztosít a támadók számára –, és arra használja őket, hogy proxyszervert állítson be a célba vett banki weboldalak számára.

A Retefe létrehoz egy hamis tanúsítványt is, azt a látszatot keltve, hogy egy jól ismert igazoló hatóság (CA), a Comodo hitelesítette. Mindez nagyon bonyolulttá teszi a csalás felismerését a felhasználó számára.

Az összes főbb böngésző érintett volt, beleértve az Internet Explorert, a Mozilla Firefoxot és a Google Chrome-ot is. A program néhány esetben megpróbálta rávenni a felhasználót, hogy telepítse a malware mobilapplikációját – ezt az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást.

Az ESET kutatása felfedezett egy másik változatot is, JS/Retefe.B néven, némiképp különböző struktúrával. A Tor helyett a bűnözők a Tor2web szolgáltatást használták, ami lehetővé tette a kártevőnek, hogy a Tor böngésző használata nélkül is anonim maradhasson.

Hogyan deríthetjük ki, hogy megfertőzött-e minket?

Az ESET értesítette az érintett cégeket, és felajánlotta a segítségét a fenyegetés elhárításában. Emellett a felhasználóknak érdemes manuálisan is ellenőrizni a számítógépüket, vagy használhatják az ESET Retefe Checker weboldalát.

A fertőzöttségre utaló jelek:

  • A rosszindulatú tanúsítvány jelenléte, amely azt a látszatot kelti, hogy a Comodo Certification Authority hitelesítette, a kibocsátó Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. e-mail címével.
  • A rosszindulatú Proxy Automatic Configuration Script (PAC) jelenléte, ami az .onion domainre mutat.
  • Az Android/Spy.Banker.EZ jelenléte az androidös eszközünkön (ez az ESET Mobile Security alkalmazásával ellenőrizhető).

Ha ezek alapján úgy tűnik, hogy megfertőzödött a készülékünk, az ESET tanácsa szerint elsőként változtassuk meg a belépési adatainkat, és nézzük meg, zajlik-e bármilyen gyanús aktivitás (pl. hamis tranzakciók az online bankfiókunkban). Ezután távolítsuk el a Proxy Automatic Configuration Scriptet (PAC), hogy ezt miként tudja megtenni, az alábbi képen látható.

Az utolsó lépés

Forrás: ESET

Hirdetések

Our website is protected by DMC Firewall!