Za únik peňazí z účtov 20-tisíc klientov britskej Tesco Bank je podľa spoločnosti ESET s najvyššou pravdepodobnosťou zodpovedný škodlivý kód Retefe.
Tento malware sa väčšinou šíri ako príloha e-mailu, ktorá sa vydáva za objednávku, faktúru alebo podobný dokument. Výsledkom infekcie je, že škodlivý kód modifikuje webstránku internet bankingu zobrazenú klientovi banky v jeho prehliadači, následne sa pokúša zbierať prihlasovacie údaje obete a v niektorých prípadoch ho naláka aj na to, aby na svoje mobilné zariadenie nainštaloval mobilný komponent tohto škodlivého kódu, ktorý ESET deteguje ako Android/Spy.Banker.EZ.
Podľa médií týmto spôsobom unikli financie z účtov 20-tisíc klientov Tesco Bank. Inštitúcia zároveň stopla všetky online transakcie 140-tisíc zákazníkom.
Spoločnosť ESET má podklady k analýze kódu Retefe vďaka aktívnemu monitoringu škodlivých kódov ESET Threat Intelligence. Služba je v súčasnosti dostupná v Slovenskej a Českej republike. V najbližších mesiacoch ju spoločnosť spúšťa aj v iných krajinách sveta.
Malware Retefe dokáže modifikovať webstránky internet bankingu vo všetkých hlavných webových prehliadačoch, vrátane Google Chrome, Mozilly Firefox a Internet Explorera. ESET upozorňuje, že klienti Tesco Bank nemusia byť jediným cieľom útočníkov.
Autori sa zamerali aj na klientov ďalších bánk v Británii a nemecky hovoriacich krajinách. Tieto banky aktuálne tím ESET Threat Intelligence kontaktuje s varovaním o hrozbe, ktoré ich klientov môže pripraviť o peniaze. Aktívni zákazníci ESET Threat Intelligence na Slovensku a v Českej republike dostávajú cez túto službu automatické informácie o tom, či je na nich alebo ich klientov vedený alebo pripravovaný cielený útok.
Dnes spoločnosť ESET vydala bezplatný nástroj, vďaka ktorému môže používateľ alebo klient banky zistiť, či je jeho zariadenie infikované spomínaným škodlivým kódom, ktorý stojí pravdepodobne za týmto útokom. Bezplatný nástroj nájdete tu.
Pozrite si tiež kompletný zoznam domén (prevažne bánk a finančných inštitúcií), do ktorých zbiera škodlivý kód prístupové údaje, ak je používateľov počítač infikovaný. Sú to: *postfinance.ch, cs.directnet.com, eb.akb.ch, *.ubs.com, tb.raiffeisendirect.ch, *.bkb.ch, *.lukb.ch, *.zkb.ch, *.onba.ch, e-banking.gkb.ch, *.bekb.ch, wwwsec.ebanking.zugerk, netbanking.bcge.ch, *.raiffeisen.ch, *.credit-suisse.com, *.bankaustria.at, *.bawagpsk.com, *.raiffeisen.at, *.static-ubs.com, *.bawag.com, *.clientis.ch, clientis.ch, *bcvs.ch, *cic.ch, www.banking.co.at, *oberbank.at, www.oberbank-banking.at, *baloise.ch, *.ukb.ch, urkb.ch, *.urkb.ch, *.eek.ch, *szkb.ch, *shkb.ch, *glkb.ch, *nkb.ch, *owkb.ch, *cash.ch, *bcf.ch, *.easybank.at, ebanking.raiffeisen.ch, *.onion, *bcv.ch, *juliusbaer.com, *abs.ch, *bcn.ch, *blkb.ch, *bcj.ch, *zuercherlandbank.ch, *valiant.ch, *wir.ch, *postfinance.ch, cs.directnet.com, eb.akb.ch, *.ubs.com, tb.raiffeisendirect.ch, *.bkb.ch, *.lukb.ch, *.zkb.ch, *.onba.ch, e-banking.gkb.ch, *.bekb.ch, wwwsec.ebanking.zugerk, netbanking.bcge.ch, *.raiffeisen.ch, *.credit-suisse.com, *.bankaustria.at, *.bawagpsk.com, *.raiffeisen.at, *.static-ubs.com, *.bawag.com, *.clientis.ch, clientis.ch, *bcvs.ch, *cic.ch, www.banking.co.at, *oberbank.at, www.oberbank-banking.a, *baloise.ch, *.ukb.ch, urkb.ch, *.urkb.ch, *.eek.ch, *szkb.ch, *shkb.ch, *glkb.ch, *nkb.ch, *owkb.ch, *cash.ch, *bcf.ch, *.easybank.at, ebanking.raiffeisen.ch, *.onio, *bcv.ch, *juliusbaer.com, *abs.ch, *bcn.ch, *blkb.ch, *bcj.ch, *zuercherlandbank.ch, *valiant.ch, *wir.ch, *.facebook.com, *.gmx.at, *.gmx.ch, *.gmx.com, *.gmx.de, *.gmx.net, *.if.com, *.paypal.com, *barclays.co.uk, *business.hsbc.co.uk, *cahoot.com, *co-operativebank.co.uk, *halifax-online.co.uk, *halifax.co.uk, *lloydsbank.co.uk, *lloydstsb.com, *natwest.com, *nwolb.com, *rbsdigital.com, *sainsburysbank.co.uk, *santander.co.uk, *smile.co.uk, *tescobank.com, ulsterbankanytimebanking.co.uk, accounts.google.com, hosts.length, hsbc.co.uk, login.live.com, login.yahoo.com, mail.google.com, onlinebusiness.lloydsbank.co.uk, uko.ukking.co.uk, www.hsbc.co.uk
