El troyano Retefe llega a Europa después de afectar a China

Escrito por Adrián Crespo
Seguridad
0

El malware deja una larga lista de clientes de entidades bancarias afectados por el robo de credenciales de acceso a la cuenta del servicio de banca en línea, siendo muchos los que han denunciado la sustracción de dinero de las cuentas. Después de haber triunfado, sin ningún tipo de dudas los propietarios del troyano Retefe han conseguido que este desemboque en Europa para infectar los equipos de los usuarios y así proceder al robo de los datos.

El troyano ya ha comenzado a afectar a usuarios localizados en Suecia, Suiza y Austria y se cree que tendrá una rápida difusión, sobre todo si se tiene en cuenta que el correo electrónico y páginas web infectadas son sus dos principales vías de expansión. Con respecto a las páginas infectadas, actualmente se han encontrado un total de 30 que poseen una copia del malware para ser descargada. Sin embargo, lo curioso de todo esto es que el archivo malicioso no era incluido por ejemplo en blogs de WordPress que podrían haberse vistos comprometidos, sino que se alojaba en las páginas de las propias entidad bancarias, provocando que el usuario no sospechase de que el contenido podría ser un virus informático.

Los bancos que se han visto afectados por este malware son:

  • Chiba Bank
  • Yamagata Bank
  • Chugoku Bank
  • Japan Post Bank
  • Awa Bank, Daishi Bank
  • Hokkoku Bank
  • Musashino Bank
  • Miyazaki Bank

De momento no se tienen muchos datos sobre la infección en los países europeos, excepto el listado de lugares donde se ha detectado algún equipo infectado.

Retefe sustituye los servidores DNS del equipo infectado

retefe malware cambia dns equipo infectado

Después de haberse descargado bien de un correo electrónico spam o bien de uno de los sitios web infectados, al ejecutarlo el malware comienza con su instalación. Una vez que se ha finalizado el proceso, la primera tarea que se desarrolla es la sustitución de los servidores DNS que el usuario tiene configurados, introduciendo los pertenecientes a los ciberdelincuentes. Una vez que esto se ha realizado, los ciberdelincuentes tendrán total control sobre el tráfico del usuario y toda la navegación pasará por el servidor proxy de estos, pudiendo ver los datos que son enviados y la navegación del usuario.

Con esto y gracias al empleo de ingeniería social, el usuario introducirá los datos pensando que está conectado con el sitio web legítimo de una entidad bancaria pero en realidad se encuentra ante una copia idéntica de esta, por lo tanto, todos los datos introducidos no irán cifrados y serán accesibles por los ciberdelincuentes, utilizándolos posteriormente para acceder a la cuenta con las credenciales robadas.

Este virus afecta únicamente a los usuarios que posean un sistema operativo Windows y es detectable por un gran número de herramientas de seguridad.

Fuente | Softpedia