zurĂŒck zum Artikel

Bankingtrojaner Retefe fĂŒr macOS in deutscher Sprache

Ben Schwan
Schweizer CERT warnt vor Bankingtrojaner fĂŒr den Mac

Das ist kein Apple-Update.

(Bild: GovCERT.ch)

Eine neue Version vom Retefe-SchĂ€dling tarnt sich unter anderem als OS-X-Update und wird derzeit etwa ĂŒber gefĂ€lschte DHL-Mails verteilt. Auch Windows-Nutzer sind gefĂ€hrdet.

Das Sicherheitsunternehmen Proofpoint hat eine neue Malware-Kampagne gesichtet [1], die sich gegen deutschsprachige Mac- und Windows-Benutzer richtet. Es handelt sich offenbar um eine Variante des Retefe-Trojaners [2], der schon zuvor Computer in Österreich, in der Schweiz, in Japan und in Schweden angegriffen hat.

OSX/Dok ist wieder da

Die macOS-Version von Retefe ist auch unter dem Namen OSX/Dok bekannt – und ist eine Portierung einer seit lĂ€ngerem kursierenden Malware fĂŒr Windows-Rechner. Unter macOS gaukelt der SchĂ€dling Opfern vor, ein wichtiges OS-X-Sicherheitsupdate zu sein. FĂŒr dessen Installation ist die Eingabe des Admin-Kennworts nötig – genau darauf hat es Retefe unter anderem abgesehen.

Gibt der Nutzer das Passwort ein, wird ein Proxy sowie ein neues Root-Zertifikat im System an- respektive abgelegt – der Angreifer erhĂ€lt damit kompletten Zugriff auf die Web-Kommunikation des Nutzers, bisweilen auch auf verschlĂŒsselte Verbindungen. So sollen die Drahtzieher Bankdaten abgfangen können.

Mails mit Paketnachrichten

Laut Proofpoint kursiert Retefe derzeit vor allem als Mail mit Schadanhang im Rahmen einer Spam-Kampagne. Dabei werden gefakte "Benachrichtigungen ĂŒber die Paketzustellung" verschickt – ebenso wie mit DHL-Branding versehene Mails, deren Subject "Man hat Ihnen das Paket mit Unterlagen versendet" lautet. Vielfach sind die daran angehĂ€ngten Malware-Installer jedoch nur fĂŒr Windows gedacht – sie bedienen sich eines in eine Word-Datei eingebetteten Shell- oder OLE-Objekts. Dennoch sollten auch Mac-Nutzer solche Mails niemals anklicken.

Retefe gilt unter Windows als recht perfider Trojaner und verbreitet sich in Netzwerken wie der Erpressungstrojaner WannaCry wurmartig ĂŒber die EternalBlue-Schwachstelle [3]. (bsc [4])

URL dieses Artikels:
https://www.heise.de/-3859911

Links in diesem Artikel:
[1] https://www.proofpoint.com/de/threat-insight/post/neue-deutschsprachige-kampagnen-verteilt-retefe-banking-trojaner-%E2%80%93-auch-mac-os
[2] https://www.heise.de/mac-and-i/meldung/macOS-Banking-Trojaner-propagiert-Installation-des-Krypto-Messengers-Signal-3773536.html
[3] https://www.heise.de/news/WannaCry-Microsoft-liefert-Sicherheits-Patches-fuer-veraltete-Windows-Versionen-3713417.html
[4] mailto:bsc@heise.de

Copyright © 2017 Heise Medien