Das Internet Storm Center (ISC) warnt, dass derzeit der Banking-Trojaner Retefe wieder gehäuft Computer befallen soll. Dieser leitet dann Webbrowser um, fängt Nutzer-Daten ab und manipuliert Transaktionen.

Über Vorfälle in Österreich, Schweden, Japan und der Schweiz hat das ISC berichtet. Derzeit ist nicht bekannt, ob der Schädling auch in Deutschland auftreten wird. Retefe hat es auf Windows-Nutzer abgesehen und verbreite sich über E-Mails mit Dateianhang.

Eine Zip-Datei mit JavaScript soll sich im Anhang befinden. Wird das Archiv dann entpackt und der Inhalt ausgeführt, lädt das JavaScript den Schädling herunter, erläutert das ISC.

Noch ist nicht bekannt, wie die betrügerischen E-Mails daherkommen. Vor kurzem haben die Drahtzieher hinter Erpressungs-Trojanern wie Petya auf gefälschte Bewerbungs- und Rechnungsschreiben als Verbreitungsweg gesetzt.

Das erste Mal trat Retefe im Sommer 2014 auf. Der Schädling löscht sich direkt bei der Installation wieder. Trotz einiger schwer zu entdeckender Manipulationen am System kann er dem Anwender einen Android-Trojaner unterjubeln. Dieser kann dann den von der Bank als SMS geschickten Sitzungs-Token (Zweifaktor-Authentifizierung) abgreifen.

Retefe verankert in Windows einen neuen DNS-Server und installiert ein Zertifikat. Wenn ein Nutzer dann die Webseite seiner Bank aufrufen will, wird er stattdessen aufgrund manipulierter DNS-Antworten auf eine Seite der Angreifer umgeleitet.

Vom Webbrowser wird die verschlüsselte Verbindung als vertrauenswürdig eingestuft, da das Zertifikat von der Trojaner-CA beglaubigt ist. Auf dem Computer werden von einem Viren-Scan keine gefährlichen Dateien mehr entdeckt. Die aktuelle Variante soll sich laut dem ISC identisch verhalten.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE