Nacionalni CERT

Bankarski trojanac Retefe od rujna koristi EternalBlue

Retefe, bankarski trojanac, od 5. rujna koristi ranjivost EternalBlue kako bi zarazio računala koja nisu na vrijeme izvršila sigurnosnu nadogradnju. Nakon pojave prvih bankarskih trojanaca Emotet i TrickBot koji koriste EternalBlue ranjivost, Retefe je također počeo koristiti istu ranjivost kako bi omogućio napadačima širenje zaraze na računala koja imaju zastarjeli SMBv1 protokol.

Grupa napadača koja stoji iza zlonamjernog ransomware sadržaja Retefe do sada nije ciljala veliki broj korisnika te su njihovi napadi usredotočeni na korisnike banaka u Austriji, Švedskoj, Švicarskoj i Japanu. Grupa je aktivna od 2013. godine, a zanimljivo je kako je zaslužna i za razvijanje bankarskog trojanca namijenjenog uređajima koji koriste macOS operacijski sustav.

Ono što razlikuje Retefe od ostalih sličnih zlonamjernih sadržaja jest funkcionalnost koja mu dopušta preusmjeravanje prometa na lažirane stranice koje se nalaze na poslužiteljima napadača. Otkrivanje napadača dodatno otežava činjenica kako se većina poslužitelja nalazi na Dark Webu što zapravo pronalazak odgovornih čini gotovo nemogućim.

Prema dosadašnjim saznanjima, Retefe se najviše spominje u kontekstu švicarskih banaka, a nadležna CERT služba aktivno prati Retefe, ali i sve slične inačice zlonamjernih bankarskih trojanaca. Detaljnu analizu širenja ovog bankarskog trojanca donosi Proofpoint u izvješću objavljenom na njihovom web sjedištu.

27.09.2017