zurück zum Artikel

Bankingtrojaner Retefe für macOS in deutscher Sprache

Ben Schwan
Schweizer CERT warnt vor Bankingtrojaner für den Mac

Das ist kein Apple-Update.

(Bild: GovCERT.ch)

Eine neue Version vom Retefe-Schädling tarnt sich unter anderem als OS-X-Update und wird derzeit etwa über gefälschte DHL-Mails verteilt. Auch Windows-Nutzer sind gefährdet.

Das Sicherheitsunternehmen Proofpoint hat eine neue Malware-Kampagne gesichtet [1], die sich gegen deutschsprachige Mac- und Windows-Benutzer richtet. Es handelt sich offenbar um eine Variante des Retefe-Trojaners [2], der schon zuvor Computer in Österreich, in der Schweiz, in Japan und in Schweden angegriffen hat.

OSX/Dok ist wieder da

Die macOS-Version von Retefe ist auch unter dem Namen OSX/Dok bekannt – und ist eine Portierung einer seit längerem kursierenden Malware für Windows-Rechner. Unter macOS gaukelt der Schädling Opfern vor, ein wichtiges OS-X-Sicherheitsupdate zu sein. Für dessen Installation ist die Eingabe des Admin-Kennworts nötig – genau darauf hat es Retefe unter anderem abgesehen.

Gibt der Nutzer das Passwort ein, wird ein Proxy sowie ein neues Root-Zertifikat im System an- respektive abgelegt – der Angreifer erhält damit kompletten Zugriff auf die Web-Kommunikation des Nutzers, bisweilen auch auf verschlüsselte Verbindungen. So sollen die Drahtzieher Bankdaten abgfangen können.

Mails mit Paketnachrichten

Laut Proofpoint kursiert Retefe derzeit vor allem als Mail mit Schadanhang im Rahmen einer Spam-Kampagne. Dabei werden gefakte "Benachrichtigungen über die Paketzustellung" verschickt – ebenso wie mit DHL-Branding versehene Mails, deren Subject "Man hat Ihnen das Paket mit Unterlagen versendet" lautet. Vielfach sind die daran angehängten Malware-Installer jedoch nur für Windows gedacht – sie bedienen sich eines in eine Word-Datei eingebetteten Shell- oder OLE-Objekts. Dennoch sollten auch Mac-Nutzer solche Mails niemals anklicken.

Retefe gilt unter Windows als recht perfider Trojaner und verbreitet sich in Netzwerken wie der Erpressungstrojaner WannaCry wurmartig über die EternalBlue-Schwachstelle [3]. (bsc [4])

URL dieses Artikels:
https://www.heise.de/-3859911

Links in diesem Artikel:
[1] https://www.proofpoint.com/de/threat-insight/post/neue-deutschsprachige-kampagnen-verteilt-retefe-banking-trojaner-%E2%80%93-auch-mac-os
[2] https://www.heise.de/mac-and-i/meldung/macOS-Banking-Trojaner-propagiert-Installation-des-Krypto-Messengers-Signal-3773536.html
[3] https://www.heise.de/news/WannaCry-Microsoft-liefert-Sicherheits-Patches-fuer-veraltete-Windows-Versionen-3713417.html
[4] mailto:bsc@heise.de

Copyright © 2017 Heise Medien