Эксперты ESET выявили масштабную атаку на клиентов европейских банков, а также пользователей Facebook, Gmail, PayPal и других сервисов. Злоумышленники используют для кражи данных троянца JS/Retefe.
Первыми жертвами довольно успешной кампании стали клиенты британского Tesco Bank в начале ноября. Тогда было произведено около 40 тыс. мошеннических операций, половина из которых привели к краже средств. Банк подтвердил, что пострадали 9 тыс. клиентов. Retefe перехватывает логины и пароли пользователей онлайн-банкинга, которые затем используются для несанкционированных транзакций. Анализ троянца показал, что под прицелом также Raiffeisen, Credit Suisse, Barclays, HSBC и другие финансовые учреждения и крупные веб-сервисы.
В настоящее время Retefe распространяется во вложениях электронной почты под видом счета фактуры и других документов. После запуска на компьютере жертвы он устанавливает несколько компонентов, включая Tor, и использует их для настроек прокси для интересующих сайтов. Когда пользователь авторизуется в онлайн-банке или на другой целевой площадке с зараженного ПК, троянец подменяет страницу и перехватывает логин и пароль.
Атака затронула пользователей всех популярных браузеров, включая Internet Explorer, Mozilla Firefox и Google Chrome. В некоторых случаях Retefe работает «в паре» с мобильным компонентом для планшетов и смартфонов Android/Spy.Banker.EZ, чтобы обойти двухфакторную аутентификацию. Retefe использует поддельный корневой сертификат, замаскированный под легитимный, выданный Comodo.
