Controleer uw computer op de aanwezigheid van Retefe malware

Wat is Retefe malware?

Retefe (door ESET gedetecteerd als JS/Retefe) wordt meestal verspreid als e-mailbijlage die wordt gemaskeerd als bestelling, factuur of vergelijkbaar bestand. De malware wordt uitgevoerd als een Powershell-script die de proxy-instellingen van de browser wijzigt en een kwaadaardig rootcertificaat installeert dat beweert uitgegeven te zijn door een bekende certificeringsinstantie, Comodo. (Sommige varianten installeren Tor en Proxifier en stellen in de Taakplanning in dat deze automatisch worden uitgevoerd).

Het resultaat van deze technieken is een 'Man in the Middle'-aanval, waarbij de geïnfecteerde gebruiker verbinding maakt met de online webpagina van een bank uit de lijst in het configuratiebestand van Retefe. De malware past de bankwebpagina aan die de gebruiker ziet. Vervolgens wordt geprobeerd om de inloggegevens van de gebruiker te bemachtigen. In sommige gevallen wordt geprobeerd om de gebruiker ertoe te brengen de mobiele component van de malware te installeren (door ESET gedetecteerd als Android/Spy.Banker.EZ). Deze mobiele component wordt gebruikt om de authenticatie op basis van twee factoren via mTAN's te omzeilen.

Deze malware werkt op alle gerenommeerde browsers, inclusief Internet Explorer, Mozilla Firefox en Google Chrome. Meer informatie kunt u vinden in onze blog WeLiveSecurity.com.

Is mijn computer besmet?

U kunt uw computer controleren op indicators van Retefe:

  • 1  Wanneer u een van de services in de onderstaande lijst van doelwitten gebruikt, moet u uw inloggegevens wijzigen en controleren of er verdachte activiteiten zijn (zoals frauduleuze transacties bij online bankieren).
  • Voor Mozilla Firefox, ga naar de Certificate Manager:

For other browsers, look in the system-wide installed root certificates through MMC (Microsoft Management Console):

So far, we have seen two such certificates with the following details:

  • Serial number: 00:A6:1D:63:2C:58:CE:AD:C2
  • Valid from: Tuesday, July 05, 2016
  • Expires: Friday, July 03, 2026
  • Issuer: me@myhost.mydomain, COMODO Certification Authority, …

and

  • Serial number: 00:97:65:C4:BF:E0:AB:55:68
  • Valid from: Monday, February 15, 2016
  • Expires: Thursday, February 12, 2026
  • Issuer: me@myhost.mydomain, COMODO Certification Authority, …

 

"http://%onionDomain%/%random%.js?ip=%publicIP%"
where %onionDomain% is an onion domain randomly selected from the configuration file
%random% is a string of 8 characters from alphabet A-Za-z0-9
%publicIP% is the user’s public IP address

For example: "http://e4loi7gufljhzfo4.onion.link/xvsP2YiD.js?ip=100.10.10.100"

  • 3  Check for presence of Android/Spy.Banker.EZ on your Android device (can be checked using ESET Mobile Security)

or by using

You can use this tool created by ESET to automatically check for Retefe infection indicators mentioned above.
After downloading the ZIP archive, extract it and launch the retefe-checker.js JavaScript.

*The Refete Checker is a tool created by ESET (hereinafter referred to as “Tool”) provided to you at your request. By clicking the button “DOWNLOAD RETEFE CHECKER”, you agree that you use the Tool on an “as is” basis. Although we do our best to provide the best results, 100% accuracy is not possible, and thus we don’t guarantee it with the Tool. Under certain circumstances, some known indicators of compromise might not get discovered by the Tool; likewise, it is possible that the Tool can generate false alarms. By using the Tool, you agree that ESET can not be held responsible for any damage that might arise in connection with the test, its result or with any advice we might provide in connection with this Tool.

What should I do if my computer is infected by Retefe?

  • 1  If you are using any of the services from the list of targets below, change your logon credentials as well as check for suspicious activity (e.g. for fraudulent transactions in your online banking).
  • 2  Remove the Proxy Automatic Configuration script (PAC):

*.facebook.com
*.bankaustria.at
*.bawag.com
*.bawagpsk.com
*.bekb.ch
*.bkb.ch
*.clientis.ch
*.credit-suisse.com
*.easybank.at
*.eek.ch
*.gmx.at
*.gmx.ch
*.gmx.com
*.gmx.de
*.gmx.net
*.if.com
*.lukb.ch
*.onba.ch
*.paypal.com
*.raiffeisen.at
*.raiffeisen.ch
*.static-ubs.com
*.ubs.com
*.ukb.ch
*.urkb.ch
*.zkb.ch
*abs.ch

*baloise.ch
*barclays.co.uk
*bcf.ch
*bcj.ch
*bcn.ch
*bcv.ch
*bcvs.ch
*blkb.ch
*business.hsbc.co.uk
*cahoot.com
*cash.ch
*cic.ch
*co-operativebank.co.uk
*glkb.ch
*halifax-online.co.uk
*halifax.co.uk
*juliusbaer.com
*lloydsbank.co.uk
*lloydstsb.com
*natwest.com
*nkb.ch
*nwolb.com
*oberbank.at
*owkb.ch
*postfinance.ch
*rbsdigital.com
*sainsburysbank.co.uk

*santander.co.uk
*shkb.ch
*smile.co.uk
*szkb.ch
*tescobank.com
*ulsterbankanytimebanking.co.uk
*valiant.ch
*wir.ch
*zuercherlandbank.ch
accounts.google.com
clientis.ch
cs.directnet.com
e-banking.gkb.ch
eb.akb.ch
ebanking.raiffeisen.ch
hsbc.co.uk
login.live.com
login.yahoo.com
mail.google.com
netbanking.bcge.ch
onlinebusiness.lloydsbank.co.uk
tb.raiffeisendirect.ch
uko.ukking.co.uk
urkb.ch
www.banking.co.at
www.hsbc.co.uk
www.oberbank-banking.at
wwwsec.ebanking.zugerkb.ch