Bankingtrojaner Retefe für macOS in deutscher Sprache

Das Sicherheitsunternehmen Proofpoint hat eine neue Malware-Kampagne gesichtet, die sich gegen deutschsprachige Mac- und Windows-Benutzer richtet. Es handelt sich offenbar um eine Variante des Retefe-Trojaners, der schon zuvor Computer in Österreich, in der Schweiz, in Japan und in Schweden angegriffen hat.

Die macOS-Version von Retefe ist auch unter dem Namen OSX/Dok bekannt – und ist eine Portierung einer seit längerem kursierenden Malware für Windows-Rechner. Unter macOS gaukelt der Schädling Opfern vor, ein wichtiges OS-X-Sicherheitsupdate zu sein. Für dessen Installation ist die Eingabe des Admin-Kennworts nötig – genau darauf hat es Retefe unter anderem abgesehen.

Gibt der Nutzer das Passwort ein, wird ein Proxy sowie ein neues Root-Zertifikat im System an- respektive abgelegt – der Angreifer erhält damit kompletten Zugriff auf die Web-Kommunikation des Nutzers, bisweilen auch auf verschlüsselte Verbindungen. So sollen die Drahtzieher Bankdaten abgfangen können.

Laut Proofpoint kursiert Retefe derzeit vor allem als Mail mit Schadanhang im Rahmen einer Spam-Kampagne. Dabei werden gefakte „Benachrichtigungen über die Paketzustellung“ verschickt – ebenso wie mit DHL-Branding versehene Mails, deren Subject „Man hat Ihnen das Paket mit Unterlagen versendet“ lautet. Vielfach sind die daran angehängten Malware-Installer jedoch nur für Windows gedacht – sie bedienen sich eines in eine Word-Datei eingebetteten Shell- oder OLE-Objekts. Dennoch sollten auch Mac-Nutzer solche Mails niemals anklicken.

Retefe gilt unter Windows als recht perfider Trojaner und verbreitet sich in Netzwerken wie der Erpressungstrojaner WannaCry wurmartig über die EternalBlue-Schwachstelle.

2017-10-12T15:13:58+00:00