Banking-Trojaner Retefe ist zurück

Derzeit soll der Banking-Trojaner Retefe wieder gehäuft Computer befallen. Anschließend leitet er Webbrowser um, fängt Nutzer-Daten ab und manipuliert Transaktionen, warnt das Internet Storm Center (ISC).

Das ISC berichtet über Vorfälle in Japan, Österreich, Schweden und der Schweiz. Ob es der Schädling auch auf Deutschland abgesehen hat, ist derzeit nicht bekannt. Retefe verbreite sich über E-Mails mit Dateianhang und hat es auf Windows-Nutzer abgesehen.

Im Anhang soll sich eine Zip-Datei mit JavaScript befinden. Lässt sich ein Opfer von den Kriminellen aufs Glatteis führen, entpackt das Archiv und doppelklickt den Inhalt, lädt das JavaScript den Schädling herunter, erläutert das ISC.

Wie die betrügerischen E-Mails daherkommen, ist derzeit nicht bekannt. Die Drahtzieher hinter Erpressungs-Trojanern wie Petya haben in jüngster Vergangenheit auf gefälschte Bewerbungs- und Rechnungsschreiben als Verbreitungsweg gesetzt.

Perfide wie eh und je

Retefe tauchte im Sommer des Jahres 2014 erstmals auf der Bildfläche auf. Der Schädling zeichnet sich durch seine besondere Vorgehensweise aus: Retefe löscht sich direkt bei der Installation wieder. Durch einige schwer zu entdeckende Manipulationen am System kann er dem Anwender trotzdem einen Android-Trojaner unterjubeln, um den von der Bank als SMS geschickten Sitzungs-Token (Zweifaktor-Authentifizierung) abzugreifen.

In Windows verankert Retefe einen neuen DNS-Server und installiert ein Zertifikat. Will ein Nutzer nun die Webseite seiner Bank aufrufen, landet er aufgrund manipulierter DNS-Antworten auf einer Seite der Angreifer.

Diese Verbindung ist sogar verschlüsselt und wird vom Webbrowser als vertrauenswürdig eingestuft, weil das Zertifikat von der Trojaner-CA beglaubigt ist. Das perfide daran ist, dass ein Viren-Scan keine gefährliche Dateien mehr auf dem Computer entdeckt. Laut dem ISC soll sich die aktuelle Variante identisch verhalten. (des)