Banking-Trojaner nimmt europäische Banken und Kunden in Visier
Palo Alto Networks meldet erste Angriffe in der Schweiz, Schweden und Japan
München, den 21. August 2015 – Palo Alto Networks beobachtet auffällige Aktivitäten des Banking-Trojaners Retefe. In den letzten zwei Wochen hat das Sicherheitsunternehmen mithilfe seines Erkennungsdienstes AutoFocus eine Welle von E-Mails, die den Retefe-Trojaner in sich trugen, erfasst. Ziele waren Unternehmen in Westeuropa und Japan. Während ähnliche Trojaner-Familien wie Zeus und Citadel von Angreifern genutzt werden, um Ziele auf der ganzen Welt anzugreifen, wurde Retefe in jüngster Zeit offensichtlich konsequent auf Opfer in Schweden, der Schweiz und Japan angesetzt.
Die Angriffs-E-Mails sind landesspezifisch angepasst und enthalten datierte Dateinamen, um sie relevanter erscheinen zu lassen. Als Absender wird häufig ein lokaler Elektronikhändler vorgetäuscht. Die Malware kapert Netzwerkverbindungen zu Schweizer, schwedischen und japanischen Finanzinstitutionen, damit die Angreifer betrügerische Aktivitäten durchführen können. Die Malware hat in den jüngsten Kampagnen auch Downloads durchgeführt und den Trojaner Smoke Loader installiert. Diese modulare Backdoor-Malware ist in der Lage, Anmeldeinformationen aus dem infizierten System zu stehlen und zusätzliche Malware zu installieren.
Retefe unterscheidet sich von den meisten Banking-Trojanern, die in der Regel Web-Browser-Software angreifen, um die Anmeldeinformationen zu erfassen, bevor sie mit SSL verschlüsselt und auf den Web-Server der Bank gesendet werden. Retefe verwendet stattdessen Windows PowerShell, um eine Reihe von Befehlen auszuführen, die ein neues Stammzertifikat auf dem Opfersystem installieren. Nach der Installation des Zertifikats macht Retefe eine Anforderung an einen Server über HTTPS, um JavaScript-Code abzurufen, der die System-Proxy für Web-Browsing neu konfiguriert. So kann Verkehr für verschiedene Banking-Domains über einen Server geleitet werden, der vom Angreifer kontrolliert wird. Der Proxy-Server führt einen Man-in-the-Middle-Angriff auf den Verkehr aus, entschlüsselt und modifiziert ggf. Anfragen vor der erneuten Verschlüsselung der Daten und Weitergabe an die Bank. Retefe installiert das neue Root-Zertifikat, damit die Benutzer keine Benachrichtigung erhalten, dass sie der Website, mit der sie in Kontakt sind, nicht vertrauen sollten.
Die häufig wechselnden Command&Controll-Server von Retefe scheinen Proxy-Konfigurationscode nur dann zu verschicken, wenn sich das infizierte Host-System in der Schweiz, Schweden oder Japan befindet. Varianten von Retefe laden weitere Malware von mehreren URLs herunter, aber in den meisten Fällen ist der Server, auf dem die ausführbare Datei gehostet wird, eine infizierte Website in dem Land, in dem vom jeweiligen Retefe-Sample Ziele angegriffen werden. Die Forscher von Palo Alto Networks vermuten, dass die Akteure, die hinter Retefe stecken, zunächst Smoke Leader nutzten, um mit der Infizierung von Systemen, die außerhalb der drei Zielstaaten liegen, Geld zu verdienen, bevor sie es mit Retefe auf lukrative Ziele in den drei Ländern abgesehen haben.
Die Angriffe sind zielgerichtet speziell auf Online-Banking-Kunden in nur wenigen Ländern. Die jüngste Kampagne zeigt, dass Retefe nach dem gleichen Prinzip auch Nutzer in anderen Ländern bedrohen könnte. Der Abo-Dienst WildFire von Palo Alto Networks identifiziert Samples von Retefe und Smoke Loader als bösartig. Nutzer von AutoFocus können diese Samples mithilfe der SmokeLoader und Retefe Tags identifizieren.
