zurück zum Artikel

Bankingtrojaner Retefe für macOS in deutscher Sprache

Schweizer CERT warnt vor Bankingtrojaner für den Mac

Das ist kein Apple-Update.

(Bild: GovCERT.ch)

Eine neue Version vom Retefe-Schädling tarnt sich unter anderem als OS-X-Update und wird derzeit etwa über gefälschte DHL-Mails verteilt. Auch Windows-Nutzer sind gefährdet.

Das Sicherheitsunternehmen Proofpoint hat eine neue Malware-Kampagne gesichtet[1], die sich gegen deutschsprachige Mac- und Windows-Benutzer richtet. Es handelt sich offenbar um eine Variante des Retefe-Trojaners[2], der schon zuvor Computer in Österreich, in der Schweiz, in Japan und in Schweden angegriffen hat.

Die macOS-Version von Retefe ist auch unter dem Namen OSX/Dok bekannt – und ist eine Portierung einer seit längerem kursierenden Malware für Windows-Rechner. Unter macOS gaukelt der Schädling Opfern vor, ein wichtiges OS-X-Sicherheitsupdate zu sein. Für dessen Installation ist die Eingabe des Admin-Kennworts nötig – genau darauf hat es Retefe unter anderem abgesehen.

Gibt der Nutzer das Passwort ein, wird ein Proxy sowie ein neues Root-Zertifikat im System an- respektive abgelegt – der Angreifer erhält damit kompletten Zugriff auf die Web-Kommunikation des Nutzers, bisweilen auch auf verschlüsselte Verbindungen. So sollen die Drahtzieher Bankdaten abgfangen können.

Laut Proofpoint kursiert Retefe derzeit vor allem als Mail mit Schadanhang im Rahmen einer Spam-Kampagne. Dabei werden gefakte "Benachrichtigungen über die Paketzustellung" verschickt – ebenso wie mit DHL-Branding versehene Mails, deren Subject "Man hat Ihnen das Paket mit Unterlagen versendet" lautet. Vielfach sind die daran angehängten Malware-Installer jedoch nur für Windows gedacht – sie bedienen sich eines in eine Word-Datei eingebetteten Shell- oder OLE-Objekts. Dennoch sollten auch Mac-Nutzer solche Mails niemals anklicken.

Retefe gilt unter Windows als recht perfider Trojaner und verbreitet sich in Netzwerken wie der Erpressungstrojaner WannaCry wurmartig über die EternalBlue-Schwachstelle[3]. (bsc[4])


URL dieses Artikels:
http://www.heise.de/-3859911

Links in diesem Artikel:
[1] https://www.proofpoint.com/de/threat-insight/post/neue-deutschsprachige-kampagnen-verteilt-retefe-banking-trojaner-%E2%80%93-auch-mac-os
[2] https://www.heise.de/mac-and-i/meldung/macOS-Banking-Trojaner-propagiert-Installation-des-Krypto-Messengers-Signal-3773536.html
[3] https://www.heise.de/meldung/WannaCry-Microsoft-liefert-Sicherheits-Patches-fuer-veraltete-Windows-Versionen-3713417.html
[4] mailto:bsc@heise.de