post

Eine neue Ausbreitung des Banking-Trojaners Retefe ist derzeit im Gang. Das Internet Storm Center (ISC) beobachtet insbesondere in der Schweiz, Österreich, Schweden und Japan ein Anstieg solcher Computer-Infektionen. Retefe hat Windows-Anwender im Visier und verteilt sich hauptsächlich über schädliche E-Mail-Anhänge.

Installation von gefälschtem Zertifikat auf dem Computer

In Windows erfasst Retefe einen neuen DNS-Server und installiert ein Zertifikat. Das Opfer landet daher auf einer Seite der Cyberkriminellen, wenn die Website der Bank aufgerufen wird. Diese Verbindung ist sogar verschlüsselt und wird vom Webbrowser als vertrauenswürdig eingestuft, weil das Zertifikat von dem Trojaner beglaubigt wurde. Was Retefe besonders raffiniert und gefährlich macht: Der Trojaner löscht sich selbst und bleibt dem Virenscanner dadurch unbemerkt.

Der nächste Schritt des Angriffs geschieht auf dem Smartphone: In Android wird dem Nutzer ein Trojaner untergeschoben, welcher den von der Bank per SMS versandten Token abfängt und damit die Zwei-Faktor-Authentifizierung aushebelt.

Wie die betrügerischen E-Mails daherkommen, ist derzeit nicht bekannt. Aktuell werden hauptsächlich Zip-Dateien mit schädlichem JavaScript als Verursacher eruiert. Die Akteure hinter Erpressungs-Trojanern wie Petya haben in vergangenen Fällen auf gefälschte Bewerbungs- und Rechnungsschreiben als Verbreitungsweg gesetzt.

Retefe ist seit 2013 bekannt und verbreitete sich in der Schweiz erstmals 2014. Gemäss der Melde- und Analysestelle Informationssicherung (Melani) haben die meisten Schweizer Banken damals Massnahmen gegen den Trojaner getroffen.

Vorsichtsmassnahmen

Für solche Bedrohungen sollten insbesondere Betriebssystem und Software immer auf dem aktuellsten Stand gehalten werden. Das Öffnen von Attachments sollte nur mit höchster Vorsicht durchgeführt werden. Des Weiteren ist ein aktueller Antivirenschutz und eine regelmässige Datensicherung Pflicht. Unter Android sollten keine Applikationen aus inoffiziellen Quellen installiert werden. Benutzen Sie nur den offiziellen Google Play Store. Genauere Präventionsmassnahmen haben wir im Beitrag zum Krypto-Trojaner Locky und E-Mail mit infizierter Zip-Datei beschrieben.

Möchten Sie Ihr Unternehmensnetzwerk gegen Bedrohungen sichern und professionell schützen? InfoSoft Systems ist Ihr Partner für IT-Lösungen. Nehmen Sie mit uns Kontakt auf.

Quelle: heise.de