Retefe Bankentrojaner

E-Banking ist seit seiner Entstehung ein attraktives Tummelfeld für Betrüger. Oft wird auf spezielle Schadsoftware, auf sogenannte Bankentrojaner, zurückgegriffen, um arglosen Opfern Geld abzuziehen.

Die meisten dieser Bankentrojaner basieren auf technisch betrachtet ziemlich komplexen Softwarekomponenten: Verschlüsselte Konfigurationen, Man-in-the-Browser-Funktionalität, Persistenz- und Updatemechanismen, um einige zu nennen. Im letzten halben Jahr hat sich eine gänzlich neue Variante behauptet, welche erst im Februar 2014 einen Namen erhielt: Retefe. Nur wenig wurde bis an hin publiziert, einer der Hauptgründe ist sicherlich, dass die Schadsoftware nur in wenigen Ländern (CH, AT, SE, JP) agiert und nur einige ausgewählte Banken angreift. TrendMicro (Blogartikel: Operation Emmental (DE), (EN)) und SWITCH-CERT möchten hiermit nun etwas detaillierter über diesen Trojaner berichten.

Das Besondere am Retefe Bankentrojaner ist seine Schlichtheit. Das infizierte System wird wie folgt manipuliert:

1. Auf dem PC des Opfers wird der Eintrag des DNS-Servers auf einen bösartigen DNS-Server geändert.
2. Auf dem PC des Opfers wird ein gefälschtes Root-Zertifikat installiert, siehe auch unser kürzlich veröffentlichten Blogartikel zu diesem Thema.

Nach der Infektion löscht sich die Installationsroutine selbst. Ausser dem manipulierten System bleibt nichts zurück, was es schwierig für Antiviren-Programme macht, im Nachhinein eine Infektion festzustellen.

An Eleganz ist diese Schadsoftware schwer zu übertreffen: Sie verzichtet auf die in der Einführung genannten Softwarekomponenten und minimiert damit die Komplexität. Es scheint auch, dass es aus Betrügersicht heutzutage ökonomischer ist, schlicht und einfach neue Opfer-PCs mittels Spam-Kampagnen zu infizieren.

Wie sieht der Modus Operandi konkret aus?

1. Das Opfer tippt in seinem Browser die E-Banking-Seite seiner Bank ein.
2. Die Namensauflösung wird vom bösartigen DNS-Server durchgeführt: die zurückgelieferte IP-Adresse zeigt auf einen Server, welcher vom Betrüger kontrolliert wird und eine Kopie der Webseite der betroffenen Bank enthält.
3. Das Opfer sieht die (kopierte) Webseite seiner Bank. Es gibt keine Zertifikats-Warnung seitens des Browsers, da ein gefälschtes Root-Zertifikat installiert wurde, welches das verwendete SSL Webserverzertifikat signierte.
4. Das Opfer tippt seine Vertragsnummer und das Passwort ein und schickt diese Informationen damit dem Betrüger.
5. Weiter wird das Opfer dazu angehalten, auf seinem Smartphone (bis jetzt nur Android) eine Software zu installieren. Führt das Opfer diese Anweisungen aus, infiziert es damit auch sein Smartphone und die mTAN-SMS der Bank werden dem Betrüger weitergeleitet. Gängige Antiviren-Programme für Android bieten einen guten Schutz dagegen, doch leider verwenden noch eher wenige Leute eine solche Software auf ihrem Smartphone.
6. Ab diesem Zeitpunkt hat der Betrüger volle Kontrolle über den E-Banking-Account des Opfers. Üblicherweise loggt sich dieser dann über einen Proxy in der geographischen Nähe des Opfers ein. Als Proxy dient in der Regel ein weiterer kompromittierter PC.

SWITCH-CERT verfolgt diesen Bankentrojaner seitdem er in der Schweiz aktiv wurde: Anfang November 2013. In Zusammenarbeit mit unseren Bankenkunden, unserem Netzwerk Monitoring und mit unserer täglichen Analyse der Schadsoftware-Verteilung in der Schweiz (Spam, Malware Domains) erhalten wir ein gutes Bild. Die folgende Grafik zeigt die verwendeten bösartigen DNS-Server als Funktion der Zeit aus Schweizer Sicht: in anderen Länder wurden durchaus auch andere IPs verwendet.

SWITCH-CERT überwacht das Hochschulnetz auf Retefe-Infektionen, informiert und unterstützt die verantwortlichen Stellen bei der Säuberung. In Zusammenarbeit mit den grossen ISPs der Schweiz gelingt es mit hoher Erfolgsrate, einen entsprechenden Schutzschild zu errichten. Falls Sie als AS-Betreiber/ISP interessiert sind, von uns über die laufende Retefe Kampagne informiert zu werden, wenden Sie sich bitte an cert@switch.ch.

Text und Bilder: Daniel Stirnimann, Slavo Greminger