ESET vydal bezplatný nástroj proti nebezpečnému bankovnímu malware

Další zpráva

Praha, 11. listopadu 2016 - Malware, který byl použit pro cílený útok na britskou Tesco Bank a ohrozil i několik dalších finančních domů, detekovali analytici společnosti ESET. Podle aktivního monitoringu škodlivých kódů ESET Threat Intelligence je trojan Refete, který je ve své aktuální podobě znám nejméně od února 2016, schopen nasměrovat své oběti na modifikované stránky internetového bankovnictví a získat od nich přihlašovací údaje k jejich bankovním účtům. V některých případech se také pokusil přimět oběti k instalaci mobilní komponenty tohoto škodlivého kódu detekované společností ESET jako Android/Spy.Banker.EZ. Tato mobilní verze malware byla použita pro obcházení dvoufaktorové autentizace.

Analytici společnosti ESET určili indikátory přítomnosti malware Retefe a vyzývají uživatele níže uvedených služeb, aby si zkontrolovali, zda jejich počítače nejsou nakaženy. Mohou tak učinit ručně nebo pomocí internetové stránky společnosti ESET Retefe checker, kde si mohou stáhnout nástroj, jež automaticky prověří přítomnost zmiňovaných ukazatelů v počítači.

Škodlivý kód JS/Retefe se obvykle šíří jako příloha e-mailu, která navozuje dojem objednávky, faktury nebo podobného dokumentu. Jakmile je stažena, nainstaluje do napadeného zařízení několik složek včetně anonymní možnosti využívání služby Tor a využije je k nakonfigurování proxy cíleného na webové stránky bank. Retefe rovněž přidává falešný certifikát bezpečnosti, který navozuje dojem, jako by byl vydán a ověřen známou certifikační autoritou Comodo. Pro běžného uživatele je velmi obtížné tento podvod odhalit. 

Retefe se dostal do hledáčku bezpečnostních analytiků již dříve. Začátkem tohoto roku začal útočit na zákazníky bank ve Velké Británii a od té doby přidal mobilní komponenty a rozšířil seznam svých cílů. Mezi institucemi, na které se trojan Retefe zaměřuje, jsou velké banky v Británii, Švýcarsku (to je podle systému ESET LiveGrid nejvíce postiženou zemí) a Rakousku, ale také oblíbené internetové služby Facebook a PayPal.

„Možná souvislost mezi velkým útokem na Tesco Bank, kde tisíce klientů přišly o peníze, a bankovním trojanem Retefe je znepokojující. Samozřejmě jsme hned upozornili všechny firmy, na které Retefe cílí, a nabídli jim pomoc při zmírňování dopadů této hrozby. Doporučujeme rovněž samotným uživatelům, aby podnikli kroky na svoji ochranu,” říká bezpečnostní expert společnosti ESET Peter Stančík.

Níže naleznete informace:

  • Jak mohou uživatelé prověřit přítomnost Retefe ve svých počítačích

  • Jaké další kroky mají uživatelé provést, pokud zjistí indikátor přítomnosti Retefe

  • Seznam služeb, na které cílí trojan Retefe

 

Jak mohou uživatelé prověřit přítomnost Retefe ve svých počítačích

Uživatelé mohou prověřit přítomnost Retefe ve svých počítačích tak, že budou hledat tyto indikátory přítomnosti:

1. Přítomnost jednoho ze škodlivých kořenových certifikátů se projevuje tak, že počítač žádá o potvrzení certifikace pro Comodo s nastavenou adresou vystavitele me@myhost.mydomain:

U prohlížeče Mozilla Firefox přejděte do Správce certifikátů:

U ostatních prohlížečů hledejte v rámci celého systému instalované kořenové certifikáty prostřednictvím MMC (Microsoft Management Console):

Doposud jsme zaznamenali dva takovéto certifikáty s následujícími údaji:

  • Výrobní číslo: 00: A6: 1D: 63: 2C: 58: CE: AD: C2

  • Platnost od: úterý 5. června, 2016

  • Platnost do: pátku 03.7.2026

  • Vystavitel: me@myhost.mydomain, certifikační autorita COMODO

a

  • Výrobní číslo: 00: 97: 65: C4: BF: E0: AB: 55: 68

  • Platnost od: pondělí 15. února 2016

  • Vyprší: čtvrtek 12. února 2026

  • Vystavitel: me@myhost.mydomain, certifikační autorita COMODO

 2. Přítomnost škodlivého Proxy skriptu pro automatickou konfiguraci (PAC) prokazuje doména .onion

http:? //%onionDomain%/%random%.js ip =% publicIP%, přičemž

  • -% onionDomain% je doména onion náhodně vybraná z konfiguračního souboru

  • -% random% je řetězec osmi znaků z abecedy a-zA-z0-9

  • -% PublicIP% je veřejná IP adresa uživatele

Například: http:// e4loi7gufljhzfo4.onion.link/xvsP2YiD.js?ip=100.10.10.100

3. Přítomnost Android / Spy.Banker.EZ na vašem zařízení se systémem Android (lze zkontrolovat pomocí ESET Mobile Security)

 

Jaké další kroky mají uživatelé provést, pokud zjistí indikátor přítomnosti Retefe

Ti internetoví uživatelé, kteří narazí na některý z uvedených indikátorů přítomnosti malware Retefe, by měli podniknout následující kroky doporučené odborníky ze společnosti ESET:

Pokud používáte některou ze služeb vyjmenovaných níže, které patří mezi cíle trojanu Retefe, změňte své přihlašovací údaje, a stejně tak prověřte podezřelé aktivity (např. případné podvodné transakce v internetovém bankovnictví).

1. Odstraňte skript pro automatickou konfiguraci proxy (PAC):

2. Odstraňte výše zmíněný certifikát.

Jako proaktivní ochranu používejte spolehlivá bezpečnostní řešení, speciálně pro online bankovnictví a transakce. A nezapomeňte stejně tak chránit i vaše mobilní zařízení s operačním systémem Android.

Přečtěte si více o trojanu Retefe a jeho roli při kybernetickém útoku na britskou Tesco Bank v odborném článku na oficiálním blogu společnosti ESET - WeLiveSecurity.com.

 

Seznam služeb, na které cílí trojan Retefe

*.facebook.com • *.bankaustria.at • *.bawag.com • *.bawagpsk.com • *.bekb.ch • *.bkb.ch • *.clientis.ch • *.credit-suisse.com • *.easybank.at • *.eek.ch • *.gmx.at • *.gmx.ch • *.gmx.com • *.gmx.de • *.gmx.net • *.if.com • *.lukb.ch • *.onba.ch • *.paypal.com • *.raiffeisen.at • *.raiffeisen.ch • *.static-ubs.com • *.ubs.com • *.ukb.ch • *.urkb.ch • *.zkb.ch • *abs.ch • *baloise.ch • *barclays.co.uk • *bcf.ch • *bcj.ch • *bcn.ch • *bcv.ch • *bcvs.ch • *blkb.ch • *business.hsbc.co.uk • *cahoot.com • *cash.ch • *cic.ch • *co-operativebank.co.uk • *glkb.ch • *halifax-online.co.uk • *halifax.co.uk • *juliusbaer.com • *lloydsbank.co.uk • *lloydstsb.com • *natwest.com • *nkb.ch • *nwolb.com • *oberbank.at • *owkb.ch • *postfinance.ch • *rbsdigital.com • *sainsburysbank.co.uk • *santander.co.uk • *shkb.ch • *smile.co.uk • *szkb.ch • *tescobank.com • *ulsterbankanytimebanking.co.uk • *valiant.ch • *wir.ch • *zuercherlandbank.ch • accounts.google.com • clientis.ch • cs.directnet.com • e-banking.gkb.ch • eb.akb.ch • ebanking.raiffeisen.ch • hsbc.co.uk • login.live.com • login.yahoo.com

 

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software, který drží rekordní počet ocenění a díky němuž může víc než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy a nabízí firmám i spotřebitelům maximální proaktivní ochranu při minimálních nárocích. Jedno ze tří evropských výzkumných center ESET pro detekci malware je v Praze. Společnost ESET má celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa. 

Kontakt pro média:

Ondřej Šafář
PR manažer ESET software 
tel: +420 233 090 264
tel: +420 702 206 705
ondrej.safar@eset.cz

Jan Potůček
Account Manager
+420 606 222 928
jan.potucek@taktiq.com