Το malware που επιτέθηκε στην Tesco Bank έχει και αρκετές άλλες τράπεζες και παρόχους συναφών υπηρεσιών στη λίστα υποψήφιων στόχων, σύμφωνα με τα ευρήματα των ερευνητών της ESET. Οι υπηρεσίες Threat Intelligence της ESET ανακάλυψαν το Trojan Retefe, που δραστηριοποιείται στην τρέχουσα μορφή του τουλάχιστον από το Φεβρουάριο του 2016 και είναι ικανό να ανακατευθύνει τα θύματά του σε «πειραγμένες» τραπεζικές σελίδες για να αποσπάσει στοιχεία σύνδεσης. Σε ορισμένες περιπτώσεις, έχει επίσης προσπαθήσει να εξαπατήσει τους χρήστες να εγκαταστήσουν ένα mobile στοιχείο του κακόβουλου λογισμικού (που ανιχνεύεται από την ESET ως Android/Spy.Banker.EZ), το οποίο στη συνέχεια χρησιμοποιείται για να παρακάμψει τον έλεγχο διπλής πιστοποίησης.
Ο κακόβουλος κώδικας, που ανιχνεύεται από την ESET ως JS/Retefe, μεταδίδεται συνήθως ως συνημμένο σε email που υποτίθεται ότι είναι παραγγελία, τιμολόγιο ή κάποιο συναφές αρχείο. Μόλις εκτελεστεί, εγκαθιστά διάφορα στοιχεία συμπεριλαμβανομένης μιας υπηρεσίας ανωνυμοποίησης Tor και τα χρησιμοποιεί για να δημιουργήσει ένα proxy για τα τραπεζικά sites που βρίσκονται στο στόχαστρο.
Το Retefe προσθέτει επίσης ένα ψεύτικο πιστοποιητικό ρίζας που φαίνεται σαν να έχει εκδοθεί και πιστοποιηθεί από την πολύ γνωστή αρχή πιστοποίησης, Comodo. Αυτό καθιστά πολύ δύσκολο τον εντοπισμό της απάτης από την πλευρά του χρήστη.
Το Retefe παρακολουθείται από τους ερευνητές ασφάλειας από παλιά. Πιο πρόσφατα, μπήκε στο στόχο όταν επιτέθηκε σε πελάτες τραπεζών στο Ηνωμένο Βασίλειο στις αρχές του χρόνου. Από τότε έχει προστεθεί το mobile στοιχείο και έχει διευρυνθεί η λίστα με τους στόχους.
Μεταξύ των υπηρεσιών που στοχεύει το Trojan Retefe, βρίσκονται μεγάλες τράπεζες στο Ηνωμένο Βασίλειο, την Ελβετία (τη χώρα που έχει δεχτεί το μεγαλύτερο πλήγμα, σύμφωνα με το cloud σύστημα ESET LiveGrid) και την Αυστρία, καθώς και δημοφιλείς υπηρεσίες όπως το Facebook και το PayPal. Ο πλήρης κατάλογος βρίσκεται παρακάτω.
"Η πιθανή σύνδεση της μεγάλης επίθεσης στην Tesco Bank, όπου χιλιάδες έχασαν τα κεφάλαιά τους, με το τραπεζικό trojan Retefe είναι ανησυχητική. Έχουμε ειδοποιήσει φυσικά όλες τις εταιρίες που βρίσκονται στο στόχαστρο του Retefe και έχουμε προσφέρει τη βοήθειά μας για τον περιορισμό της απειλής. Επίσης, συμβουλεύουμε τους χρήστες να λάβουν τα απαραίτητα μέτρα για την προστασία τους» σχολιάζει ο security evangelist της ESET, Peter Stančík.
Οι ερευνητές της ESET έχουν προσδιορίσει τις ενδείξεις παραβίασης για το κακόβουλο λογισμικό Retefe και παροτρύνουν όσους χρησιμοποιούν τις παρακάτω υπηρεσίες να ελέγξουν αν οι υπολογιστές τους έχουν μολυνθεί. Μπορούν να το κάνουν μόνοι τους ή να χρησιμοποιήσουν την ιστοσελίδα της Retefe Checker της ESET, όπου μπορούν να κατεβάσουν ένα εργαλείο που ελέγχει τον υπολογιστή αυτόματα για τις σχετικές ενδείξεις.