Anzeige
SECURITY7. Mai 2019

Banking-Trojaner Retefe ist zurück

Der Banking-Trojaner Retefe ist wieder aktiv – unter anderem per infizierter SharewareProofpoint
Der Banking-Trojaner Retefe ist wieder aktiv – unter anderem per infizierter SharewareProofpoint

Sicherheitsforscher verzeichnen seit April einen massiven Anstieg der Angriffe mit einer aktualisierten Version des Retefe-Trojaners. Im Fokus stehen hauptsächlich Ziele in Deutschland und der Schweiz. Betroffen sind sowohl Windows- als auch MacOS-Nutzer.

Retefe ist ein Banking-Trojaner, der den Online-Banking-Verkehr über einen eigens eingerichteten Proxy-Server leitet. Dadurch werden Aufrufe von Banking-Websites auf gefälschte Seiten der Hacker umgeleitet, um die Login-Daten abzugreifen. Android-Nutzer werden zusätzlich aufgefordert, eine „neue“ Software zu installieren. Diese sorgt allerdings dafür, dass mTAN-SMS der Bank ebenfalls an die Betrüger weitergeleitet werden, so dass eine darauf basierende Zwei-Faktor-Authentifizierung ausgehebelt wird. Aus dem Quellcode der Malware ergibt sich, dass der Trojaner gezielt nach bestimmten Banken sucht, beispielsweise nach Verbindungen zu Instituten in Deutschland und der Schweiz.

Technik jetzt angepasst

Laut dem Sicherheitsberater Proofpoint ist die aktuelle Refete-Version vor allem in drei Punkten angepasst worden, um wirkungsvoller zuzuschlagen und sich besser vor Anti-Malware-Anwendungen zu tarnen.

  1. Statt TOR-Verbindungen, vor denen manche Schutzprogramme warnen, verwendet Retefe jetzt stunnel, das nur schwer von regulären SSL-Verbindungen zu unterscheiden ist.
  2. Als Zwischenloader setzt Retefe jetzt nicht mehr auf das bösartige VBA-Script sLoad, sondern auf den Smoke Loader, der über ein OLE-Paket (Object Linking and Embedding) eingeschleust wird.
  3. Auf Windows erfolgt die Infektion neben verseuchten Office-Dokumenten auch über eine manipulierte Version der Shareware „Convert PDF to Word Plus 1.0“, das über einen Python-Installer verfügt. Bei MacOS-Anwendern wird weiterhin ein gefälschtes Adobe-Cloud-Installationsprogramm eingesetzt.

Angeblicher Treiber als Einfallstor

In der verseuchten Variante der Shareware „Convert PDF to Word Plus 1.0“ haben die Hacker die integrierte Python-Installationsroutine manipuliert. So wird nicht nur die eigentliche Anwendung in der Datei convert-pdf-to-word-plus.exe ins TEMP-Verzeichnis installiert und ausgeführt, sondern auch die Datei convert-pdf-to-word-plus_driver.exe. Was dem Namen nach wie ein regulärer Treiber aussieht, ist in Wirklichkeit der Retefe-Loader, der den JavaScript-Code des Trojaners nachlädt und damit das System infiziert.

Auch MacOS-Anwender betroffen

MacOS-Nutzer greift Retefe mit Hilfe gefälschter Adobe-Software an Proofpoint
MacOS-Nutzer greift Retefe mit Hilfe gefälschter Adobe-Software an Proofpoint

Mit von Entwicklern signierten Versionen gefälschter Adobe-Installationsprogramme greifen die Hacker auch MacOS-Nutzer an. Mit Hilfe der Signatur gelingt es, den integrierten Sicherheitsmechanismus „Gatekeeper“ zu umgehen, der vor der Ausführung überprüft, ob Anwendungen mit einem gültigen Entwicklerzertifikat signiert sind. Fehlt die Signatur, wird die Installation verweigert. Der Nutzer kann die Installation zwar erzwingen – eine angebliche Adobe-Software, die nicht signiert ist, sollte allerdings alle Warnleuchten aktivieren. In der Vergangenheit wurden MacOS-Nutzer auch schon mit gefälschten MacOS-Sicherheits-Updates angegriffen.

Fazit

Neue Verteilmechanismen und angepasste Tarn- und Infektionstechniken erhöhen die Gefahr erfolgreicher Infektionen. Banken in Deutschland und der Schweiz sollten ihre Online-Banking-Kunden deutlich auf das Risiko hinweisen, das von Retefe ausgeht. hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert