Outro dia, outro malware, que parece ser a nova ordem, literalmente todos os dias estamos nos deparando com uma nova espécie de malware que é capaz de criar estragos, mas o bom é que empresas de pesquisa de segurança como a ESET garantem que o programa anti-malware se encaixe com o malware. O mais recente parece Retefe, um malware que normalmente atinge organizações bancárias e também sites de mídia social, incluindo o Facebook.
O que é o Trojan Retefe Banking?
O malware Retefe executa um script Powershell que modifica as configurações de proxy do navegador e instala um certificado raiz mal-intencionado que será falsamente alegado que foi instalado por uma autoridade de certificação bem conhecida chamada Comodo. Dito isso, algumas variantes também podem instalar Tor e Proxifier e, eventualmente, agendar o mesmo para ser iniciado automaticamente com a ajuda do Agendador de Tarefas.
É claramente um caso de ataque Man-in-the-Middle, em que a vítima tenta fazer uma conexão com uma página da Web de serviços bancários on-line que corresponde à lista de configurações no arquivo do Retefe. É nesse momento que o malware entra em ação e modifica a página da web do banco e criptografa as credenciais do usuário, além de enganar os usuários para que instalem o componente móvel do malware. A pior parte é que os componentes móveis contornam a autenticação de dois fatores com a ajuda de mTANs. Além disso, todos os principais navegadores, incluindo o Internet Explorer, o Google Chrome e o Mozilla Firefox, são afetados por esse bug.
Verificador Retefe Eset
Pode-se verificar manualmente a presença de certificados raiz mal-intencionados que são falsamente alegados como tendo sido emitidos pela Autoridade de Certificação COMODO e o e-mail do emissor está definido como me @ myhost.mydomain.
Se você é um usuário do Mozilla Firefox, vá até o Gerenciador de Certificados e verifique o valor do campo. Para navegadores diferentes do Mozilla, consulte os Certificados Raiz instalados em todo o sistema através do Microsoft Management Console. Você precisa verificar a presença do script de Configuração Automática de Proxy (PAC) malicioso que aponta para um domínio.onion.
Você também pode baixar Verificador Retefe Eset e execute a ferramenta. No entanto, o Retefe Checker também pode, às vezes, disparar um alarme falso e, por esse motivo, os usuários também devem verificar manualmente.
Você pode ler mais sobre o processo de remoção manual e baixar o Eset Retefe Checker de Eset.com Aqui.
Posts relacionados:
- Como configurar e usar o Miracast no Windows 10
- O que são certificados raiz para o Windows?
- Guia de Remoção de Malware e Ferramentas para Iniciantes
- Gerenciar certificados raiz confiáveis no Windows 10/8
- Eset Hidden File System Reader remove todos os vestígios de rootkits
