Újabb veszélyes banki vírus tarol

A témát ebben részben 'Hírek!' CF dealer hozta létre. Ekkor: 2016. november 15..

  1. CF dealer / Tulajdonos Vezetőségi tag

    Csatlakozott:
    2011. június 15.
    Hozzászólások:
    24,509
    Kapott lájkok:
    2,269
    Beküldött adatlapok:
    0
    Nem:
    Férfi
    Lakhely :
    deutschland
    Hangjelzés a Chaten:
    nem
    Múlt héten a Tesco Bank 20 ezer ügyfelének pénzét lopták el kiberbűnözők az Egyesült Királyságban. A támadók ehhez a Retefe nevű vírust vetették be: ez egy olyan trójai, ami a felhasználók online banki belépési adatait próbálja megszerezni a tranzakciók végrehajtásához. A vírus más országokban is megjelenhet.


    A Tesco Bank vezérigazgatója, Benny Higgins megerősítette, hogy néhány ügyfelük felhasználói fiókját online támadás érte, ami egyes esetekben pénzveszteséggel is járt – közölte az ESET. A BBC szerint körülbelül 40 000 felhasználó észlelt gyanús aktivitást a múlt héten, és közülük körülbelül 20 000 főnek lopták el a pénzét.

    A Tesco Bank ezért úgy döntött, hogy ideiglenesen felfüggeszti az online tranzakciók végrehajtását, de más szolgáltatásait, például a pénzfelvételt lehetővé teszi ügyfelei számára. Az ESET szakértői úgy gondolják, hogy a pénzintézet alapvető infrastruktúrája nem érintett. Rámutattak az ügy és az ESET Threat Intelligence által felfedezett Retefe trójai program közötti kapcsolatra.

    Ha a felhasználót megfertőzte ez a rosszindulatú kód, és megpróbált csatlakozni a vírus által célba vett online banki szolgáltatás egyikéhez, a kártevő módosította a banki weboldalt azért, hogy begyűjthesse a belépési adatokat.

    Máshol is fertőzhet


    A vizsgálat azt is kimutatja, hogy sajnos más országokban található bankok egész hosszú listája szerepel ennek a vírusnak a célkeresztjében. Korábban az Egyesült Királyság mellett Svájcban és Ausztriában volt jelen, valamint olyan népszerű szolgáltatásokat is érintett, mint a Facebook és a Paypal.

    [​IMG]

    A Retefe máshol is támadhat

    Forrás: SCIENCE PHOTO LIBRARY

    A támadások már 2016 februárjában kezdődtek, azonban a Retefe trójai korábban is aktív volt, pusztán más technikát használt, hogy megfertőzze az áldozatok gépeit. A fejlesztések eredményeként azóta megjelent a vírushoz köthető mobilapplikáció, és bővült a célpontok listája is.

    Így terjed


    Az ESET által JS/Retefe néven észlelt rosszindulatú kódot általában e-mail csatolmányokban terjesztik, rendelésnek, számlának vagy egy egyszerű fájlnak álcázva. A futtatáskor több komponenst telepít az áldozat számítógépére – a Tor nevű programot is, amely anonimitást biztosít a támadók számára –, és arra használja őket, hogy proxyszervert állítson be a célba vett banki weboldalak számára.

    A Retefe létrehoz egy hamis tanúsítványt is, azt a látszatot keltve, hogy egy jól ismert igazoló hatóság (CA), a Comodo hitelesítette. Mindez nagyon bonyolulttá teszi a csalás felismerését a felhasználó számára.

    [​IMG]

    Banki adatokat, pénzt szipkáz a Retefe

    Forrás: AFP

    Az összes főbb böngésző érintett volt, beleértve az Internet Explorert, a Mozilla Firefoxot és a Google Chrome-ot is. A program néhány esetben megpróbálta rávenni a felhasználót, hogy telepítse a malware mobilapplikációját – ezt az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást.

    Az ESET kutatása felfedezett egy másik változatot is, JS/Retefe.B néven, némiképp különböző struktúrával. A Tor helyett a bűnözők a Tor2web szolgáltatást használták, ami lehetővé tette a kártevőnek, hogy a Tor böngésző használata nélkül is anonim maradhasson.

    Hogyan deríthetjük ki, hogy megfertőzött-e minket?


    Az ESET értesítette az érintett cégeket, és felajánlotta a segítségét a fenyegetés elhárításában. Emellett a felhasználóknak érdemes manuálisan is ellenőrizni a számítógépüket, vagy használhatják az ESET Retefe Checker weboldalát.

    A fertőzöttségre utaló jelek:

    • A rosszindulatú tanúsítvány jelenléte, amely azt a látszatot kelti, hogy a Comodo Certification Authority hitelesítette, a kibocsátó me@myhost.mydomain e-mail címével.
    • A rosszindulatú Proxy Automatic Configuration Script (PAC) jelenléte, ami az .onion domainre mutat.
    • Az Android/Spy.Banker.EZ jelenléte az androidös eszközünkön (ez az ESET Mobile Security alkalmazásával ellenőrizhető).

    Ha ezek alapján úgy tűnik, hogy megfertőzödött a készülékünk, az ESET tanácsa szerint elsőként változtassuk meg a belépési adatainkat, és nézzük meg, zajlik-e bármilyen gyanús aktivitás (pl. hamis tranzakciók az online bankfiókunkban). Ezután távolítsuk el a Proxy Automatic Configuration Scriptet (PAC), hogy ezt miként tudja megtenni, az alábbi képen látható.

    [​IMG]

    Az utolsó lépés

    Forrás: ESET
    KAPCSOLÓDÓ CIKKEK

    Let's block ads! (Why?)

    Forrás...