Banking Trojaner Retefe nutzt gepatchtes Eternalblue Exploit

Kriminelle starten erneut eine Infektionswelle über den Banking Trojaner Retefe, wobei sie auf die bereits veraltete Windows Sicherheitslücke EternalBlue setzen.

Obwohl Retefe noch nie die Reichweite bzw. den Ruf ähnlicher Trojaner wie Dridex oder Zeus erreichen konnte, ist es bemerkenswert, dass dieser jetzt auf eine von Windows bereits gepatchte Windows-Schwachstelle setzt und es konsequent und zielgerichtet auf Banking-Kunden in Regionen wie Österreich, Schweden, Schweiz, Japan und jüngst auch Großbritannien abgesehen hat.

Genau wie bei den Infektionen Emotet und TrickBot, scheint Retefe den Proof-of-Concept NSA EternalBlue-Exploit-Code für sich zu nutzen, der auf GitHub veröffentlicht wurde.

In den letzten Monaten konnten die Experten von ProofPoint vermehrt diverse Spam-Wellen mit dem Retefe Trojaner beobachten. Getarnt trugen die Spam-Mails in der Regel im Anhang manipulierte Microsoft Office-Dokumente, in denen Macros, bzw. Object Linking and Embedding Objects (OLE2) eingebettet waren. Wurde eines der infizierten Dokumente vom Anwender geöffnet und die angezeigte Sicherheitswarnung von Office ignoriert, startete ein entsprechender Schadcode. Dieser lud ein selbstextrahierendes Ziparchiv herunter und startete das darin enthaltene Javascript-Installationsprogramm.

Bild: proofpoint.com – Retefe Microsoft Word

Bei einer Analyse des Javascriptcodes fanden die Experten mehrere Konfigurationsparameter, die auf die veraltete SMBv1-Dienste aufsetzen um z.B. die Infektion auf andere Computer im selben Netzwerk zu übertragen. Die Payload-Konfiguration für die Implementierung von EternalBlue lädt ein PowerShell-Skript von einem Remote-Server herunter, das eine eingebettete ausführbare Datei enthält, die letztendlich den Banking-Trojaner Retefe auf das System installiert.

Im Gegensatz zu Dridex oder anderen Trojanern, die auf Webinjects angewiesen sind, um Online-Banking-Sitzungen zu entführen, funktioniert und agiert Retefe aus dem Hintergrund des infizierten Systems über verschiedene Proxy-Server, die oft im TOR-Netzwerk gehostet werden. Über Diese wird der Datenverkehr, wie z.B. die persönlichen Zugangsdaten zu und von den Zielbanken abgreift und weiterleiten.

Maßnahmen die getroffen werden können, bevor die Infektionen den Rechnerblindübernehmen kann.

Die veraltete Windows Sicherheitslücke EternalBlue (CVE-2017-0144) wurde von Microsoft bereist im März 17 geschlossen. Das Patchen der Systeme wird dringend empfohlen!

Downloadmöglichkeiten des Microsoft_Patches: Microsoft-Sicherheitsbulletin MS17-010 – Kritisch

Die Experten von Proofpoint fordern vor allem Unternehmen auf, dafür Sorge zu tragen, dass alle Systeme vollständig gegen die EternalBlue-Schwachstelle (CVE-2017-0144) gepatcht wurden. Unternehmen sollten zudem den damit verbundenen Datenverkehr in IDS-Systemen und Firewalls blockieren und schädliche Nachrichten (der primäre Vektor für Retefe) am E-Mail-Gateway blockieren.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac