В арсенале банковского трояна Retefe появился эксплоит EternalBlue

[душман]

В арсенале банковского трояна Retefe появился эксплоит EternalBlue, ранее использовавшийся в атаках вымогательского ПО WannaCry.Главными объектами новой вредоносной кампании стал ряд финансовых учреждений в Швейцарии, сообщили исследователи из компании Proofpoint.

Разработанный Агентством национальной безопасности США и впоследствии обнародованный хакерской группировкой The Shadow Brokers эксплоит EternalBlue эксплуатирует уязвимость в сетевом протоколе Windows Server Message Block (SMB) для распространения по зараженной сети. Именно использование эксплоита EternalBlue обусловило столь быстрое распространение вымогательского ПО WannaCry. После публикации в открытом доступе эксплоит был вскоре взят на вооружение киберпреступниками, а теперь используется для кражи учетных данных и наличных денег в швейцарских банках операторами вредоносного ПО Retefe.

Вредонос Retefe активен с 2013 года, но не так известен, как другие банковские трояны, например, Dridex. В основноми троян атакует банки в Великобритании, Швейцарии, Австрии, Швеции и Японии. В отличие от других банковских троянов, Retefe перенаправляет трафик через прокси-серверы, размещенные в сети Tor. На прокси размещаются фишинговые страницы, замаскированные под страницы авторизации целевых банков. Retefe, как правило, распространяется с помощью фишинговых писем, содержащих вредоносные документы Microsoft Office. При исполнении файла запускается команда PowerShell, которая загружает вредоносную полезную нагрузку.

По словам исследователей, в данном случае полезная нагрузка содержит код эксплоита EternalBlue, загружающий скрипт PowerShell, который, в свою очередь, устанавливает Retefe. В этой версии эксплоита отсутствует модуль, отвечающий за дальнейшее распространение вредоносного ПО по зараженной сети, как в случае с атаками WannaCry. По мнению экспетов, операторы Retefe могут пока просто экспериментировать с EternalBlue и в дальнейшем использовать его для полномасштабных атак.