Pasak ESET kenksmingų programų tyrėjų, trojanas „JS/Retefe“ aktyviai siaučia nuo 2016 m. vasario. Kenksminga programa gali nukreipti aukas į netikrus bankininkystės puslapius ir pasisavinti prisijungimo duomenis. Kai kuriais atvejais kenkėjas bandė apgauti vartotojus, kad šie įsidiegtų kenksmingą mobiliesiems įrenginiams skirtą komponentą, kurį ESET nustatė kaip „Android/Spy.Banker.EZ“. Šis komponentas buvo naudojamas apeiti dviejų lygių autentifikavimą.
Kenkėjas „JS/Retefe“ dažniausiai plinta kaip el. laiškuose prisegtas failas, neva užsakymas, sąskaita ar kitas svarbus dokumentas. Pabandžius atidaryti šį failą, kenkėjas įdiegia kelis komponentus, tarp kurių yra anoniminis servisas Tor, ir konfigūruoja tarpinį servisą („proxy“) atakuojamoms bankininkystės svetainėms.
Be to, trojanas „Retefe“ prideda netikrą šakninį sertifikatą („root certificate“), kuris maskuojamas gerai žinomu sertifikavimo vardu „Comodo“. Vartotojo atžvilgiu šią apgaulę sunku nustatyti iš pirmo žvilgsnio.
Tarp „Retefe“ taikinių yra didžiausi bankai Jungtinėje Karalystėje, Šveicarijoje ir Austrijoje, taip pat tokios populiarios paslaugos, kaip „Facebook“ ir „Paypal“. Beje, remiantis ESET LiveGrid sistema, Šveicarija yra labiausiai trojano užkrėsta šalis.
„Galimas ryšys tarp didelės „Tesco Bank“ atakos, kai tūkstančiai prarado savo lėšas, ir bankininkystės trojano „Retefe“ kelia nerimą. Mes įspėjome visas šio kenkėjo atakuojamas įmones ir pasiūlėme savo pagalbą kovojant su juo. Savo ruožtu, vartotojams rekomenduojame imtis apsaugos priemonių“, – teigia ESET saugumo ekspertas Peter Stančik.
ESET tyrėjai siūlo vartotojams pasitikrinti, ar jų kompiuteriai nebuvo užkrėsti pavojingu trojanu „JS/Retefe“ specialioje svetainėje www.eset.com/int/retefe-malware-checker/. Šiame puslapyje vartotojai gali nemokamai atsisiųsti įrankį, kuris automatiškai patikrins jų kompiuterius.
Kenkėjo „JS/Retefe“ atakuojamų svetainių sąrašas:
*.facebook.com
*.bankaustria.at
*.bawag.com
*.bawagpsk.com
*.bekb.ch
*.bkb.ch
*.clientis.ch
*.credit-suisse.com
*.easybank.at
*.eek.ch
*.gmx.at
*.gmx.ch
*.gmx.com
*.gmx.de
*.gmx.net
*.if.com
*.lukb.ch
*.onba.ch
*.paypal.com
*.raiffeisen.at
*.raiffeisen.ch
*.static-ubs.com
*.ubs.com
*.ukb.ch
*.urkb.ch
*.zkb.ch
*abs.ch
*baloise.ch
*barclays.co.uk
*bcf.ch
*bcj.ch
*bcn.ch
*bcv.ch
*bcvs.ch
*blkb.ch
*business.hsbc.co.uk
*cahoot.com
*cash.ch
*cic.ch
*co-operativebank.co.uk
*glkb.ch
*halifax-online.co.uk
*halifax.co.uk
*juliusbaer.com
*lloydsbank.co.uk
*lloydstsb.com
*natwest.com
*nkb.ch
*nwolb.com
*oberbank.at
*owkb.ch
*postfinance.ch