Вирус сам настра­ивает прокси и подменяет страницу онлайн-банков, давая мошен­никам логин и пароль от личных кабинетов пользователей. 

Первыми жертвами атаки стали клиенты британ­ского Tesco Bank в начале ноября. С того времени было произ­ведено около 40 000 мошен­ни­ческих операций, 20 000 из которых привели к краже средств. В банке подтвердили, что от вирусной атаки пострадали 9 000 клиентов. Такие данные приводит компания ESET.

Специалисты компании установили, что атака на банк осуществ­ляется с помощью трояна Retefe, который перехва­тывает логины и пароли пользо­ва­телей онлайн-банкинга. Эти данные мошенники используют для несанк­ци­о­ни­ро­ванных транзакций. Анализ трояна показал, что под прицелом также Raiffeisen, Credit Suisse, Barclays, HSBC, другие финан­совые учреждения и крупные веб-сервисы.

Вредоносная кампания запущена не позднее февраля 2016 года. До этого троян Retefe также был активен, но для заражения компью­теров потен­ци­альных жертв исполь­зо­вались различные методы. Сейчас вирус распро­стра­няется во вложениях электронной почты под видом счета фактуры и других документов.

После запуска на компьютере жертвы он устанав­ливает несколько компо­нентов, включая Tor, и использует их для настроек прокси для интере­сующих сайтов. Когда пользо­ватель автори­зуется в онлайн-банке или на другой целевой площадке с зараженного ПК, троян подменяет страницу и перехва­тывает логин и пароль.

Также известно, что в некоторых случаях вирус Ratefe работает вместе с мобильным компо­нентом для планшетов и смарт­фонов, чтобы обойти двухфак­торную аутентификацию.

Поделиться: