В начале ноября 2016 года британский Tesco Bank пострадал в результате того, что представители банка назвали «методичнoй, сложнейшей кибератакой», в ходе которой подозрительная активность была замечена в отношении 40 000 аккаунтов. В общей сложности в ходе инцидента пострадали порядка 9000 клиентов финансового учреждения, которым Tesco Bank был вынужден компенсировать в общей сложности 2,5 млн фунтов.

О самой атаке и том, что именно произошло, специалисты Tesco Bank молчали, так что многие СМИ даже высказывали предположения, что за хищением средств пользователей стоит инсайдер. Как выяснилось, это не так.

Исследователи компании ESET связали масштабную атаку на клиентов банка с работой трояна JS/Retefe. Малварь перехватывает логины и пароли пользователей онлайн-банкинга, которые затем используются для несанкционированных транзакций. Анализ трояна показал, что под прицелом также находятся Raiffeisen, Credit Suisse, Barclays, HSBC, другие финансовые учреждения в Швейцарии, Австрии и Великобритании, а также крупные веб-сервисы, вроде Facebook, Gmail, PayPal и так далее.

По данным ESET, вредоносная кампания была запущена не позднее февраля 2016 года. До этого троян Retefe также был активен, но для заражения компьютеров потенциальных жертв использовались различные методы. В настоящее время Retefe распространяется преимущественно во вложениях электронной почты под видом счета фактуры и других документов. После запуска на компьютере жертвы он устанавливает несколько компонентов, включая Tor, и использует их для настроек прокси для интересующих сайтов. Когда пользователь авторизуется в онлайн-банке или на другой целевой площадке с зараженного ПК, троян подменяет страницу и перехватывает логин и пароль.

Атака затронула пользователей всех популярных браузеров, включая Internet Explorer, Mozilla Firefox и Google Chrome. В некоторых случаях Retefe работает «в паре» с мобильным компонентом для планшетов и смартфонов Android/Spy.Banker.EZ, чтобы обойти двухфакторную аутентификацию.

Также исследователи отмечают, что Retefe использует поддельный корневой сертификат, замаскированный под легитимный, выданный известным поставщиком сертификатов Comodo.

1-3l6vl



1 комментарий

  1. anonymous25

    13.11.2016 at 03:53

    «порядка 9000 клиентов» — улыбнуло)

Оставить мнение