На клиентов европейских банков и пользователей Facebook, Gmail и PayPal проходит масштабная вирусная атака

Вирус сам настраивает прокси и подменяет страницу онлайн-банков, давая мошенникам логин и пароль от личных кабинетов пользователей.

Первыми жертвами атаки стали клиенты британского Tesco Bank в начале ноября. С того времени было произведено около 40 000 мошеннических операций, 20 000 из которых привели к краже средств. В банке подтвердили, что от вирусной атаки пострадали 9 000 клиентов. Такие данные приводит компания ESET.

Специалисты компании установили, что атака на банк осуществляется с помощью трояна Retefe, который перехватывает логины и пароли пользователей онлайн-банкинга. Эти данные мошенники используют для несанкционированных транзакций. Анализ трояна показал, что под прицелом также Raiffeisen, Credit Suisse, Barclays, HSBC, другие финансовые учреждения и крупные веб-сервисы.

Вредоносная кампания запущена не позднее февраля 2016 года. До этого троян Retefe также был активен, но для заражения компьютеров потенциальных жертв использовались различные методы. Сейчас вирус распространяется во вложениях электронной почты под видом счета фактуры и других документов.

После запуска на компьютере жертвы он устанавливает несколько компонентов, включая Tor, и использует их для настроек прокси для интересующих сайтов. Когда пользователь авторизуется в онлайн-банке или на другой целевой площадке с зараженного ПК, троян подменяет страницу и перехватывает логин и пароль.

Также известно, что в некоторых случаях вирус Ratefe работает вместе с мобильным компонентом для планшетов и смартфонов, чтобы обойти двухфакторную аутентификацию.