Schadhafte E-Mails

Sichert eure Bankdaten: Retefe-Trojaner schleicht sich wieder ein

Foto von Eike Betsch

von Eike Betsch (@bulltosh)-

Nach fast zwei Jahren ist der Trojaner Retefe wieder unterwegs und dreht in einer betrügerischen E-Mail seine Runden. Die angehängte Zip-Datei beinhaltet nach Angaben des Internet Storm Centers JavaScript und hat es dabei auf Windows-Nutzer abgesehen, um deren Banking-Daten abzugreifen.

Retefe-Trojaner: Zwei Jahre alt und immer noch hinterlistig

Erstmals im Sommer 2014 aufgetaucht, erlangte der Trojaner durch seine Vorgehensweise traurige Bekanntheit. Damals zielte er noch darauf ab Android-Systeme zu manipulieren, indem er die von der Bank versendeten Sitzungs-Token (Zweifaktor-Authentifizierung) auslas und an die Drahtzieher weitergab.

Nicht weniger heimtückisch verankert Retefe in einer neuen Verbreitungswelle einen DNS-Server und installiert darüber ein Zertifikat. Dies geschieht über die angehängte Zip-Datei in der empfangenen E-Mail, in der Nutzer zum Aufrufen angehalten werden. Der Anhang enthält JavaScript und bezieht auf diese Weise die Schadsoftware. Sobald ein Nutzer im Anschluss auf die Homepage seiner Bank zugreift, wird er durch veränderte DNS-Antworten auf die Seite der Angreifer weitergeleitet.

Das heimtückische an Retefe ist seine als vertrauenswürdig eingestufte verschlüsselte Verbindung, die Browser als seriös einstufen und dementsprechend keine Warnhinweise ausgeben. Viren-Scans haben ebenfalls Probleme mit Retefe und es ist nicht garantiert, dass sie diese Datei zurzeit als gefährlich einstufen.

Bis dato werden "nur" die Transaktionen an sich angegriffen und letztendlich auf das Konto des Angreifers umgeleitet. Informationen darüber, ob weitere Nutzerdaten ausgelesen und verwendet werden, gibt es zu diesem Zeitpunkt noch nicht.

Verdächtige E-Mails

Leider ist bisher nicht bekannt, in welchem Gewand sich die betrügerische E-Mail verteilt. Das Internet Storm Center (ISC) berichtet jedoch von Vorfällen in Österreich, Schweden, Japan und der Schweiz. Auch wenn bisher kein deutscher Fall veröffentlicht wurde, so ist trotzdem Vorsicht geboten, da bereits eine deutsche Variante im Umlauf ist. Ein Übergriff hierzulande ist daher nicht ausgeschlossen.

Sag uns deine Meinung!

Um einen Kommentar zu verfassen, melde Dich an oder registriere Dich jetzt auf Netz.de!

Mehr zum Thema...
Werbung
Ab ins Netz mit dir