ESET vient d’identifier la liste des cibles du malware Retefe ayant attaqué la banque Tesco. Ce cheval de Troie s’attaque aux utilisateurs de banque en ligne afin de détourner l’argent des clients pour réaliser des transactions frauduleuses. De nombreuses autres banques figurent parmi les cibles du malware Retefe, réparties dans plusieurs pays. Cela pourrait ainsi conduire à de bien plus importantes pertes financières que celles découvertes, et toucher des milliers d’autres victimes.
La banque Tesco victime d’un cybercrime provoquant plus de 40 000 transactions suspectes
Dans une déclaration, Benny Higgins (Chief Executive de la banque Tesco) déclare que « la banque Tesco peut confirmer que, durant le week-end, certains des comptes courants de ses clients ont fait l’objet d’une activité criminelle en ligne. Dans certains cas, de l'argent a été retiré de façon frauduleuse. »
Selon la BBC, environ 40 000 transactions suspectes auraient été constatées durant le week-end et à peu près 20 000 d’entre elles ont abouti à un détournement de fonds. Benny Higgins assure que la banque continue de coopérer avec les autorités et qu’il tiendra ses clients informés via leur site Internet et autres canaux.
ESET vient d’identifier de nombreuses autres banques ciblées par le malware Retefe
ESET n’a pas encore rendu publique la relation entre cette affaire et le cheval de Troie Retefe, qui a été découvert par les services « Threat Intelligence » d’ESET et notre système de surveillance des malwares. L’analyse d’ESET montre que le malware Retefe semble avoir une liste relativement longue d’autres banques ciblées se trouvant dans de nombreux pays. Cette campagne a commencé en février 2016 (Retefe était même actif avant cette date, mais il utilisait des techniques différentes pour infecter les ordinateurs des victimes).
Si un utilisateur est infecté par un code malicieux et qu’il essaye de se connecter sur n’importe quel service de banque en ligne ciblée, le malware modifie la page Internet de la banque pour tenter de récolter les informations d’identification d’ouverture de session.
Détecté par ESET comme JS/Retefe, ce code malicieux se propage généralement en pièce jointe d’un e-mail, prenant la forme d’une facture, d’un ordre de virement ou d’un fichier similaire. Une fois exécuté, le malware installe plusieurs composants, dont le service d’anonymisation Tor et paramètre un proxy pour intercepter les sites bancaires ciblés.
Retefe installe également un certificat racine falsifié prétendant avoir été émis et vérifié par l’autorité de certification Comodo, cela rend la fraude difficile à repérer pour l’utilisateur.
De nombreux navigateurs de recherche tels que Internet Explorer, Mozilla Firefox et Google Chrome ont été infectés. Dans certains cas, Retefe a tenté de tromper l’utilisateur en installant un composant mobile du malware utilisé pour contourner l’authentification deux facteurs.
Notre outil de diagnostic vous permet de vérifier votre ordinateur afin de vous assurer que vous n’avez pas été infecté par le malware Retefe.
Pour plus d’informations concernant le malware Retefe et connaître la liste complète des cibles, nous vous invitons à consulter WeLiveSecurity. Si toutefois vous avez d’autres questions, n’hésitez pas à nous contacter.