Шкідлива програма Retefe використовується для компрометації користувачів онлайн-банкінгу

Шкідлива програма під назвою Retefe спеціалізується на компрометації користувачів різних банків, серед яких і Tesco Bank. Клієнти цього банку нещодавно зазнали масової компрометації акаунтів. Retefe використовується зловмисниками для крадіжки даних онлайн-банкінгу, які потім можуть бути використані з метою здійснення шахрайських операцій.


Згідно новинному порталу BBC, за вихідні було зафіксовано близько 40 тис. підозрілих банківських транзакцій, причому половина з них припадала на незаконне списання грошових коштів. Пізніше представники Tesco Bank подтвердили, що в результаті компрометації постраждало близько 9 тис. клієнтів банку.

Фахівці з безпеки Tesco Bank вирішили тимчасово заблокувати можливість проведення транзакцій з використанням онлайн-банкінгу. У той же час, активними залишилися такі функції клієнтів банку як зняття готівки, платежі з використанням чіпа і картки, її PIN-коду, а також інші операції, пов'язані з оплатою рахунків.

Аналіз примірників шкідливої програми аналітиками ESET показує, що вона націлена на компрометацію банків з досить довгого списку різних країн світу. Зазначимо, що шкідлива кампанія почалася, принаймні ще в лютому 2016 р. Зверніть увагу, що шкідливе ПО Retefe вже активно використовувався зловмисниками і до цієї кампанії, але при цьому зловмисники використовували інші методи її поширення.

У разі спроби підключення користувача до системи онлайн-банкінгу зі списку шкідливої програми на скомпрометованої системі, Retefe модифікує веб-сторінку сайту онлайн-банкінгу і намагається вкрасти конфіденційні дані для входу в аккаунт.

Первинне зараження шкідливою програмою відбувається через який файл, написаний на JavaScript і виявляється антивірусними продуктами ESET як JS/Retefe. В якості механізму його поширення, зловмисники вибрали метод вкладення повідомлень електронної пошти, маскуючи його під рахунок-фактуру, повідомлення про замовлення та ін. Після запуску, він встановлює в систему кілька своїх компонентів, включаючи, сервіс анонімної мережі Tor. Ці шкідливі компоненти використовуються для налаштування проксі при роботі з банківськими веб-сайтами.

При спробі отримати доступ до сайту онлайн-банкінгу, він потай перенаправляється на фальшиву копію цього веб-сайту. Retefe також додає в систему фальшивий кореневої цифровий сертифікат, який замаскований під легітимний. Для маскування використовується фальшива інформація про те, що сертифікат був виданий і підтверджений відомим центром сертифікації Comodo. Цей прийом істотно ускладнює виявлення шкідливої активності користувачем. При цьому очевидно, що ця проблема не має ніякого відношення до безпеки певного банку.



Код шкідливої програми успішно може компрометувати всі основні веб-браузерів, включаючи Internet Explorer, Mozilla Firefox і Google Chrome. У деяких випадках, Retefe намагався переконати користувача встановити мобільний компонент, який виявляється антивірусними продуктами ESET як Android/Spy.Banker.EZ. Цей мобільний компонент використовується для обходу двофакторної 2FA-аутентифікації. Нижче представлені скріншоти цього мобільного компонента.







Аналітики ESET також проаналізували і інший варіант шкідливої програми, який виявляється як JS/Retefe.B. Ця модифікація використовує досить громіздкий метод доступу до анонімної мережі Tor. Він полягає не у використанні мережі Tor безпосередньо, а через сервіс Tor2Web.

Retefe перебував під об'єктивом антивірусних дослідників і раніше, коли на початку цього року шкідлива програма активно використовувалася для компрометації банків Великобританії. З тих пір, автори додали в нього мобільний компонент, а також розширили список цілей.

Перевірка системи на зараження
Користувачам сервісів онлайн-банкінгу, які вказані нижче, рекомендується вручну перевірити наявність наступних індикаторів компрометації шкідливою програмою або ж використовувати наступну веб-сторінку ESET для перевірки.

Одним з індикаторів компрометації є присутність фальшивого кореневого цифрового сертифіката, який, нібито, був виданий центром сертифікації Comodo. При цьому адресу електронної пошти організації, що видала відповідає адресою me@myhost.mydomain.

Для веб-браузера Mozilla Firefox слід відкрити менеджер сертифікатів.



Для інших веб-браузерів, присутність сертифіката можна перевірити з допомогою MMC (Microsoft Management Console).



Ми спостерігали два таких фальшивих сертифіката, інформація про яких представлена нижче.

Serial number: 00:A6:1D:63:2C:58:CE:AD:C2
Valid from: Tuesday, July 05, 2016
Expires: Friday, July 03, 2026
Issuer: me@myhost.mydomain, COMODO Certification Authority
Serial number: 00:97:65:C4:BF:E0:AB:55:68
Valid from: Monday, February 15, 2016
Expires: Thursday, February 12, 2026
Issuer: me@myhost.mydomain, COMODO Certification Authority
Іншим індикатором компрометації є присутність у системі шкідливого скрипта Proxy Automatic Configuration (PAC), який вказує на наступний .onion домен.

hxxp://%onionDomain%/%random%.js?ip=%publicIP%
При цьому змінна %onionDomain% представляє з себе onion домен, довільно вибраний з конфігураційного файлу. Змінна %random% представляє з себе рядок з восьми символів алфавіту A-Za-z0-9. %publicIP% вказує на публічний адресу. Приклад такої посилання наведено нижче.

hxxp://e4loi7gufljhzfo4.onion.link/xvsP2YiD.js?ip=100.10.10.100

Індикатором компрометації також є присутність на пристрої під управлінням Android шкідливої програми Android/Spy.Banker.EZ.

У разі виявленого зараження системи шкідливою програмою Retefe, такі дії потрібно виконати для ліквідації цього зараження.

1. Якщо ви використовували одну з систем онлайн-банкінгу, на компрометацію якої націлена шкідлива програма, змінити свій пароль на доступ до облікового запису онлайн-банкінгу, а також перевірте наявність нелегітимних операцій з банківським рахунком.

2. Видалити з системи скрипт Proxy Automatic Configuration (PAC)


3. Видалити з системи вищезгаданий цифровий сертифікат.

4. В якості проактивного захисту використовуйте надійне засіб безпеки з функцією забезпечення безпеки операцій онлайн-банкінгу.

Нижче представлений список веб-сайтів онлайн-банкінгу, на компрометацію яких націлений Retefe.

*.facebook.com
*.bankaustria.at
*.bawag.com
*.bawagpsk.com
*.bekb.ch
*.bkb.ch
*.clientis.ch
*.credit-suisse.com
*.easybank.at
*.eek.ch
*.gmx.at
*.gmx.ch
*.gmx.com
*.gmx.de
*.gmx.net
*.if.com
*.lukb.ch
*.onba.ch
*.paypal.com
*.raiffeisen.at
*.raiffeisen.ch
*.static-ubs.com
*.ubs.com
*.ukb.ch
*.urkb.ch
*.zkb.ch
*abs.ch
*baloise.ch
*barclays.co.uk
*bcf.ch
*bcj.ch
*bcn.ch
*bcv.ch
*bcvs.ch
*blkb.ch
*business.hsbc.co.uk
*cahoot.com
*cash.ch
*cic.ch
*co-operativebank.co.uk
*glkb.ch
*halifax-online.co.uk
*halifax.co.uk
*juliusbaer.com
*lloydsbank.co.uk
*lloydstsb.com
*natwest.com
*nkb.ch
*nwolb.com
*oberbank.at
*owkb.ch
*postfinance.ch
*rbsdigital.com
*sainsburysbank.co.uk
*santander.co.uk
*shkb.ch
*smile.co.uk
*szkb.ch
*tescobank.com
*ulsterbankanytimebanking.co.uk
*valiant.ch
*wir.ch
*zuercherlandbank.ch
accounts.google.com
clientis.ch
cs.directnet.com
e-banking.gkb.ch
eb.akb.ch
ebanking.raiffeisen.ch
hsbc.co.uk
login.live.com
login.yahoo.com
mail.google.com
netbanking.bcge.ch
onlinebusiness.lloydsbank.co.uk
tb.raiffeisendirect.ch
uko.ukking.co.uk
urkb.ch
wwx.banking.co.at
wwx.hsbc.co.uk
wwx.oberbank-banking.at
wwwsec.ebanking.zugerkb.ch
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.