Neuer Angriff: Trojaner Retefe hat es erneut auf Bankdaten abgesehen

Daniel Kurbjuhn
36 Kommentare
Neuer Angriff: Trojaner Retefe hat es erneut auf Bankdaten abgesehen
Bild: GotCredit | CC BY 2.0

Der Trojaner Retefe machte erstmals 2014 die Runde, als er durch einige Tricks erfolgreich von zahlreichen Opfern die Bankdaten erlangte. Nun erfährt die Malware ein Comeback und hat bereits vielen Opfer Schaden zugefügt. Die grundlegende Strategie ist aber die Gleiche geblieben.

Trojaner installiert eigenständig Zertifikate

Wie so oft, gelangt auch Retefe über einen Anhang in einer E-Mail auf dem Computer. Dabei gibt er sich häufig als Rechnung oder Bestellbestätigung aus, doch auch andere Versionen sind denkbar. Letztlich versteckt sich hinter dem Anhang stets eine komprimierte Datei, die sich selbständig entpackt und mittels JavaScript den eigentlichen Schädling auf den Computer lädt.

Dieser stellt dann eine Verbindung zu einem neuen DNS-Server her und installiert gleichzeitig ein neues Sicherheits-Zertifikat. Dadurch werden die Anfragen an die Webseite einer Bank auf eine falsche Seite weitergeleitet, wobei dabei sogar eine gesicherte Verbindung genutzt wird, die der Webbrowser auch, aufgrund des neuen Zertifikats, als vertrauenswürdig einstuft. Der eigentliche Schädling löscht sich nach der Installation wieder selbstständig, so dass die Anti-Viren-Programme nicht anschlagen. Durch weitere Veränderungen schafft es der Trojaner zudem einen Android-Trojaner auf das Smartphone der Opfer zu installieren, womit die mobile TAN abgefangen wird, die für die Zwei-Faktor-Authentifizierung notwendig ist.

Comeback auch in deutschsprachigen Regionen

Bereits 2014 hatten Kriminelle mit Hilfe von Retefe zahlreiche Opfer gefunden und auch die aktuelle Version ist bereits aktiv. Sein Unwesen treibt der Trojaner zur Zeit in Japan, Österreich, Schweden und der Schweiz. Bislang wird Deutschland nicht als Zielland aufgeführt, da aber bereits eine deutsche Version unterwegs ist, ist ein Übergriff nicht unwahrscheinlich.

Das Ziel der Angriffe sind die Banktransaktionen, die letztlich auf andere Konten umgeleitet werden. Ob darüber hinaus auch weitere Nutzerdaten abgegriffen und genutzt werden, ist nicht bekannt.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!