El malware deja una larga lista de clientes de
entidades bancarias afectados por el robo de credenciales de acceso a la cuenta
del servicio de banca en línea, siendo muchos los que han denunciado la
sustracción de dinero de las cuentas. Después de haber triunfado, sin ningún
tipo de dudas los propietarios del troyano Retefe han conseguido que este
desemboque en Europa para infectar los equipos de los usuarios y así proceder al
robo de los datos.
El troyano ya ha comenzado a afectar a usuarios
localizados en Suecia, Suiza y Austria y se cree que tendrá una rápida
difusión, sobre todo si se tiene en cuenta que el correo electrónico y páginas
web infectadas son sus dos principales vías de expansión. Con respecto a las
páginas infectadas, actualmente se han encontrado un total de 30 que poseen una
copia del malware para ser descargada. Sin embargo, lo curioso de todo esto es
que el archivo malicioso no era incluido por ejemplo en blogs de WordPress que
podrían haberse vistos comprometidos, sino que se alojaba en las páginas de las
propias entidad bancarias, provocando que el usuario no sospechase de que el
contenido podría ser un virus informático.
Los bancos que se han visto afectados por este malware
son:
1) Chiba
Bank
2) Yamagata
Bank
3) Chugoku
Bank
4) Japan
Post Bank
5) Awa
Bank, Daishi Bank
6) Hokkoku
Bank
7) Musashino
Bank
8) Miyazaki
Bank
De momento no se tienen muchos datos sobre la infección
en los países europeos, excepto el listado de lugares donde se ha detectado
algún equipo infectado.
Retefe sustituye los servidores DNS
del equipo infectado
- Después de haberse descargado bien de un correo electrónico spam o bien de uno de los sitios web infectados, al ejecutarlo el malware comienza con su instalación. Una vez que se ha finalizado el proceso, la primera tarea que se desarrolla es la sustitución de los servidores DNS que el usuario tiene configurados, introduciendo los pertenecientes a los ciberdelincuentes. Una vez que esto se ha realizado, los ciberdelincuentes tendrán total control sobre el tráfico del usuario y toda la navegación pasará por el servidor proxy de estos, pudiendo ver los datos que son enviados y la navegación del usuario.
- Con esto y gracias al empleo de ingeniería social, el usuario introducirá los datos pensando que está conectado con el sitio web legítimo de una entidad bancaria pero en realidad se encuentra ante una copia idéntica de esta, por lo tanto, todos los datos introducidos no irán cifrados y serán accesibles por los ciberdelincuentes, utilizándolos posteriormente para acceder a la cuenta con las credenciales robadas.
- Este virus afecta únicamente a los usuarios que posean un sistema operativo Windows y es detectable por un gran número de herramientas de seguridad.