Retefe troyano bancario
- Publicado: 28/05/2019
- Importancia: Alta
- Recursos afectados
Las primeras señales de actividad de Retefe se registran en junio de 2014, se detectó una campaña de spam dirigida a las entidades financieras en Suiza, los correos provenían de reconocidas marcas de línea como LeShop.ch y Zalando, los cuales contenían un archivo malicioso RTF (formato de texto enriquecido). El archivo RTF contenía un ejecutable malicioso. Durante un análisis técnico realizado por CERT de Suiza, se identificaron una lista de entidades financieras a las cuales Retefe realizaba su ataque.
Lo que hace a Retefe realmente interesante, es el hecho de que no es un malware en sí, por lo cual podría no ser detectado por los antivirus; su objetivo es cambiar ciertas configuraciones del dispositivo:
- Cambiar la configuración de DNS del dispositivo por un DNS falso.
- Instalar un certificado de CA (Autoridad de certificación) no autorizado.
En octubre de 2015 se identifica una campaña de spam de Retefe, utilizaba el algoritmo de generación de dominio (DGA) para calcular una lista de posibles nombres de dominio que podrían ser utilizados como servidores de C&C (comando y control).
En enero de 2016, se detecto otra campaña de spam dirigida usuarios de una entidad financiera en Suiza especifica. Los correos electrónicos contenían un archivo, que en el momento de ser ejecutado abría una ventana la cual aparentaba ser un navegador web legítimo, el cual tenía aspecto de ser un portal web de banca electrónica alojado en la red de Tor (b3pepirxq7l2aybj.onion.link).
En febrero de 2016, Retefe utiliza ingeniería social para conectarse con los usuarios, su método fue por medio de llamadas; contactaban a personas, con el objetivo de obtener sus direcciones de correo. Si el usuario entregaba su dirección de correo, recibiría un mensaje electrónico con un enlace adjunto el cual redirigía a Dropbox que a su vez beneficiaba a Retefe.
En marzo de 2016, Retefe cambio una característica, en vez de utilizar un servidor de DNS o un archivo PAC para redirigir el tráfico de la banca electrónica de la máquina del usuario infectado, instalo una conexión VPN (PPP) a un host remoto bajo el control del atacante. Como resultado todo el tráfico se redirigía a un servidor VPN en Rusia 109.234.36.233. Además, instalo un certificado de autenticación fraudulento en los dispositivos que infecto para lograr suplantar a los portales de banca electrónica.
En abril de 2017, Retefe lanzo una campaña poco habitual, esta vez los correos electrónicos no exigían nada al usuario, no contenían enlaces ni archivos adjuntos en los cuales los usuarios tuvieran la opción de hacer clic. Sin embargo, los correos contenían código HTML con objetivo de orquestar (integrar servicios provenientes de diversas fuentes, y proveer información de forma síncrona o asíncrona, a través del uso de web services, colas, HTML, BD correo, archivos, etc.) una pequeña imagen de 1x1 píxel desde un servidor remoto. De esa manera el atacante podría rastrear qué navegador web y qué sistema operativo utilizaba el usuario. El propósito de esos correos electrónicos era hacer una estadística para determinar los sistemas operativos que utilizaban los usuarios, para asimismo enviar Retefe según las características de cada uno. Después de haber registrado cada uno de los sistemas operativos que utilizaban los usuarios lanzaron una campaña de spam, en donde los correos electrónicos no eran iguales, algunos correos contenían una palabra maliciosa con un script de Java o PowerShell incorporado, otros correos traían adjunto un archivo .Zip, el cual contenía una RAT (Herramienta de acceso remoto) a la cual nombraron Bella. En la variante que distribuyeron a dispositivos MacOS, se identifico que la aplicación utilizaba ingeniería social para convencer al usuario de digitar la contraseña de administrador, fingiendo ser una actualización del sistema operativo. Si el usuario digitaba la contraseña, Retefe descargaba y ejecutaba Tor (red de comunicaciones distribuida de baja latencia y superpuesta) y Socat (utilidad basada en línea de comandos que establece dos flujos de bytes bidireccionales y transfiere datos entre ellos). Utilizaba scripts de Shell para cambiar la configuración de las máquinas infectadas y hacer uso del archivo PAC e instalar un certificado falso.
En abril de 2019, se identificaron campañas de spam que distribuían Retefe, dirigidas a Austria, Suecia, Suiza, Reino Unido y Alemania. En esta campaña utilizaron como método de propagación archivos de Microsoft Word los cuales alojaban un script de Java comprimido. En su aparición se detectaron cambios notables:
- Uso de stunnel (proxy diseñado para agregar la funcionalidad de cifrado TLS a los clientes y servidores existentes sin ningún cambio en el código de los programas) en lugar de Tor para asegurar las comunicaciones de redirección de proxy y de mando y control.
- El abuso de la aplicación shareware conocida como “Convertir PDF a Word Plus 1.0”, este es un script desarrollado en Phyton que se ha empaquetado como un ejecutable de PyInstaller.
- El uso de Smoke loader (Malware con objetivo principal de robar credenciales, además capaz de distribuir Ransomware o software de minería de criptomonedas) en vez de sLoad como cargador intermedio.
- Etiquetas