Retefe-Trojaner nimmt Bankkunden auf dem Mac ins Visier

Wie aus verschiedenen Berichten hervorgeht, hat in den zurückliegenden Monaten ein Banking-Trojaner namens Retefe den Sprung von Windows auf Android und Mac vollzogen. Die Verbreitung ist aufgrund der Beschränkung auf den deutschsprachigen Raum vergleichsweise gering, jedoch hatten sich die Angreifer in der Vergangenheit flexibel gezeigt, um auf Entdeckungen durch Sicherheitsforscher zu reagieren.

Allen Retefe-Angriffen gemeinsam ist die Verbreitung des Trojaners mittels E-Mail-Anhang als RTF-Dokument oder als ZIP-Archiv über einen Online-Speicher. Enthalten ist laut Angabe des Schweizer CERT eine optimierte App-Variante des Trojaners für die jeweilige Zielplattform. Dabei gehen die Angreifer gewissenhaft vor und bestimmen zuvor mithilfe von Spam-Emails und Zählpixel die jeweilige Plattform des Opfers.

Schon in der Windows-Variante fällt Retefe vor allem durch die Art und Weise der Einnistung auf, die von vielen Anti-Viren-Lösungen unentdeckt bleibt. Statt durch ein Programm eine Hintertür zu erzeugen, werden auf dem System des Opfers die Netzwerkeinstellungen modifiziert. Im Fall der Mac-Variante "OSX/Dok" erfolgt dies mittels Open-Source-Lösungen wie Homebrew, Socat und Tor. Diese leiten entsprechend der Retefe-Konfiguration ausgesuchte Internet-Verbindungen von Banken über Server der Angreifer um.


Durch modifizierte HTTPS-Zertifikate sind die Angreifer in der Lage, die Bankverbindung des Opfers zu kontrollieren und Banktransaktionen im entscheidenen Moment zu ihren Gunsten umzuleiten. Den Schweizer Sicherheitsexperten zufolge bewegen sich die täglichen Umleitung auf wenige hundert Vorgänge, dies ist vergleichsweise wenig. Dadurch verhindern die Angreifer eine Überlastung ihrer Server.

Die App-Signierung von Apple bietet leider keinen Schutz gegen den Angriff. Dem Bericht zufolge reagieren die Angreifer sehr schnell und nutzen bei Blockierung eines Entwickler-Zertifikats innerhalb weniger Tage eine andere Apple-ID.

Um den Nutzer dazu zu bewegen, der System-Änderung zuzustimmen, tarnt sich der Trojaner außerdem als vermeintliches System-Update. Nutzer sind daher aufgefordert, bei ungewöhnlichen Vorgängen skeptisch zu bleiben und im Zweifelsfall die Eingabe des Benutzer-Kennworts zu verweigern.

Einen dauerhaft zuverlässigen Schutz vor den Retefe-Angriffen gibt es nicht. Jedoch sei darauf hingewiesen, dass wie bei allen Trojanern ein aktives Zutun des Nutzers erforderlich, von alleine kann sich der Schädling nicht verbreiten.

Kommentare

Jeronimo
Jeronimo12.10.17 11:50
Wer sich in Sachen Mac gut auskennt, wird spätestens dann misstrauisch, wenn von OS X die Rede ist statt von macOS (abgesehen davon, dass es sonst keinerlei Systemwarnungen gibt, die so aussehen).

Wer sich weniger gut auskennt, aber ansonsten nicht ganz doof ist, wird spätestens bei der Formulierung "muss man folgende Auffrischung von App Store starten" misstrauisch.

Leider decken beide genannten Gruppen nur ca. 3% der Zielgruppe ab.
+7
Jaguar1
Jaguar112.10.17 11:58
Was für ein Geschwafel in dem Screenshot! Wer drauf klickt (und dann auch noch unter den Voraussetzungen RTF oder ZIP) hat es doch mal wieder nicht anders verdient
Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.
-8
maczock12.10.17 12:19
Jeronimo
Wer sich weniger gut auskennt, aber ansonsten nicht ganz doof ist, wird spätestens bei der Formulierung "muss man folgende Auffrischung von App Store starten" misstrauisch.

Sollte das nicht eher scon bei der Überschrift der Fall sein? Das „Verfügbar“ mag man in der Eile noch übersehen, aber der erste Satz ist doch schon totale Grütze.

All die kriminelle Energie, aber dann dabei die einfachsten Dinge nicht auf die Reihe bekommen.
+3
teorema67
teorema6712.10.17 12:32
Die Initiatoren dieser plumpen Betrügereien setzen ja darauf, dass einer von 10.000 Nutzern darauf hereinfällt oder einfach nur irrtümlich eine für die Betrüger zielführende Schaltfläche klickt.
Good news, everyone! (Hubert J. Farnsworth)
+4
Sindbad12.10.17 12:33
Der Tag wird kommen, an dem "der Anbieter" sein Abfrage-Layout perfektioniert.

Die Methode ist tückisch.
+6
Jeronimo
Jeronimo12.10.17 12:43
maczock
All die kriminelle Energie, aber dann dabei die einfachsten Dinge nicht auf die Reihe bekommen.

Das denk ich mir auch immer, wenn ich wieder eine Phishing-Mail von "Apple", "Amazon" oder "PayPal" und anderen Kandidaten bekomme.

Ich mein, die wollen schließlich mein Geld, können die sich nicht ein BISSCHEN Mühe geben? Einfach mal jemand fragen, der sich mit Groß-/Kleinschreibung, rudimentärem Satzbau und den Grundlagen der deutschen Grammatik auskennt? Wieviel potentielle Opfer die wohl schon verloren haben, nur weil sie's nicht auf die Kette gekriegt haben, den ganzen Scheiß auch fehlerfrei runterzutippen?

Soviel verschenktes (kriminelles) Potential… tss tss tss.
+8
verstaerker
verstaerker12.10.17 12:45
Jaguar1
Was für ein Geschwafel in dem Screenshot! Wer drauf klickt (und dann auch noch unter den Voraussetzungen RTF oder ZIP) hat es doch mal wieder nicht anders verdient
nicht jeder beschäftigt sich mit seinem System und kennt Sicherheitsprobleme

ich öffne keine Dokumente in Anhängen , wenn der Absender nicht eindeutig klar ist und ich auch mit der Übermittlung eines Dokuments gerechnet habe

was passiert eigentlich wenn man so ein zip öffnet? startet denn ein Programm von alleine?
+2
barabas12.10.17 12:45
Jaguar1
Was für ein Geschwafel in dem Screenshot! Wer drauf klickt (und dann auch noch unter den Voraussetzungen RTF oder ZIP) hat es doch mal wieder nicht anders verdient

Na super das Du das ja anscheinend alles checkst, aber es gibt auch einfachere Gemüter die nicht so tief in die Materie eintauchen, die einfach nur mal Anwender sind.
Wie "Sinnbad" schon erwähnt, zb. so ein Abfrage-Layout ist schnell mal geändert, dann wird aus OS X einfach MacOS.
Ich denke das die Methoden, gerade wenn man so an die Anfänge denkt, hier immer perfider (professioneller) und somit gefährlicher werden.
0
sierkb12.10.17 12:59
Sindbad
Der Tag wird kommen, an dem "der Anbieter" sein Abfrage-Layout perfektioniert.

Die Methode ist tückisch.

+1

Siehe auch , , ,
-2
Chriz_L
Chriz_L12.10.17 14:41
barabas
dann wird aus OS X einfach MacOS.
Na das wird er auch erkennen - mit macOS wär es dann richtig
Scherz beiseite - die Phishing-Geschichten werden immer perfekter. Grad die letzen Tage das mit iOS Passwort-Dialog wo man optisch wirklich keinen Unterschied sieht und über den Homebutten ausprobieren muss ob nur der Dialog oder die ganze App geschlossen wird - da gibt's sicher genügend die drauf reinfallen.
+3
marcel15112.10.17 15:06
Jeronimo
Soviel verschenktes (kriminelles) Potential… tss tss tss.

Das liegt wohl eher daran, dass diese Leute selten der deutschen Sprache mächtig sind und sowas in Übersetzer packen...
+1
tbaer
tbaer12.10.17 15:41
marcel151
Jeronimo
Soviel verschenktes (kriminelles) Potential… tss tss tss.

Das liegt wohl eher daran, dass diese Leute selten der deutschen Sprache mächtig sind und sowas in Übersetzer packen...

Da aber ein Großteil der User auch nicht der deutschen Strache mächtig sind, fällt das denen doch gar nicht auf.
+4
barabas12.10.17 16:02
tbaer


....nicht der deutschen Strache mächtig sind

Volltreffer
+2
teorema67
teorema6712.10.17 20:06
Nur perfekt Deutschsprechende sind also sicher. Das ist keine gute Nachricht

Zum Glück ist die abgebildete Formatierung so schwachsinnig, dass der Betrug auch so zu erkennen ist.
Good news, everyone! (Hubert J. Farnsworth)
0
hpet996
hpet99613.10.17 10:19
teorema67
Nur perfekt Deutschsprechende sind also sicher. Das ist keine gute Nachricht

Zum Glück ist die abgebildete Formatierung so schwachsinnig, dass der Betrug auch so zu erkennen ist.

Formatierung??? oder meinst Du Formulierung? Na ja, no body is perfect
0
teorema67
teorema6713.10.17 12:04
Nein, ich meine Formatierung. Schau dir mal die hängenden Einzüge an. Da waren Profis am Werk
Good news, everyone! (Hubert J. Farnsworth)
0
hpet996
hpet99613.10.17 12:22
sowohl als auch aber, das erkennen wohl nur Profis. Ich denke das ist ein typisches copy and paste aus dem Translater, wobei die Leerschritte nicht gelöscht wurden
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen