Nueva versión del troyano bancario Retefe con nuevas funcionalidades
- Publicado: 06/05/2019
- Importancia: Media
- Recursos afectados
El principal cambio de este malware es el abandono de la red Tor para
establecer sus comunicaciones y el abuso de una aplicación legítima de
shareware.
Retefe, a diferencia de otros troyanos bancarios, no aprovecha mecanismos de
inyección, sino que enruta el tráfico destinado a bancos seleccionados a través
de un proxy.
La cadena de ataques comienza con mensajes de spam en los que los
atacantes hacen creer a los usuarios que deben instalar una aplicación para ver
correctamente el documento adjunto que distribuyen adjunto al correo, este
archivo adjunto es un ejecutable que contiene código JavaScript comprimido o
un documento Word.
Una vez se ejecuta el fichero, este extraen dos archivos en la máquina víctima.
Uno instala una aplicación legítima mientras que el otro es un 'loader' para
el troyano bancario.
Una vez extraído, se descifra y ejecuta el código principal de JavaScript
de Retefe.- Etiquetas