Le malware Retefe attaque, le secteur bancaire s’affole

Retefe a été identifié par ESET dans de nombreuses banques. L’affaire dépasse largement le cas de Tesco Bank victime d’un détournement de 2,5 millions de livres sterling soit 2,8 millions euros.

Retefe, qui s’attaque aux utilisateurs de banque en ligne et permet d’effectuer des virements frauduleux à leur insu, a été retrouvé sur les réseaux de nombreuses autres banques que Tesco. ESET, le spécialiste des d’antivirus, publiait jeudi 10 novembre la liste des sites bancaires qui ont été contaminés par ce virus à travers toute l’Europe. Et qui pourrait avoir occasionné des dégâts considérables…

Officiellement, seule Tesco Bank s’est manifestée. La filiale bancaire du groupe de distribution avance un détournement de 2,5 millions de livres sterling, soit 2,8 millions euros, provenant de 9000 comptes clients. Soit, finalement, un peu moins de la moitié estimée lors d’un premier communiqué. Selon la BBC, environ 40 000 transactions suspectes auraient été constatées durant le deuxième week-end de novembre et à peu près 20 000 d’entre elles ont abouti à un détournement de fonds. De son côté, la banque explique que les données personnelles n’ont pas été compromises dans la fraude; elle indique aussi que tous les comptes concernés ont été remboursés.

L’affaire aurait pu en rester là. Sauf que l’analyse d’ESET montre que le malware Retefe semble avoir une liste relativement longue d’autres banques ciblées se trouvant dans de nombreux pays -en particulier en Suisse. Cette campagne aurait débuté en février 2016 -Retefe était même actif avant cette date, mais il utilisait des techniques différentes pour infecter les ordinateurs des victimes.

Si un utilisateur est infecté par un code malicieux et qu’il essaye de se connecter sur n’importe quel service de banque en ligne ciblée, le malware modifie la page Internet de la banque pour tenter de récolter les informations d’identification d’ouverture de session.

Détecté par ESET comme JS/Retefe, ce code malicieux se propage généralement en pièce jointe d’un e-mail, prenant la forme d’une facture, d’un ordre de virement ou d’un fichier similaire. Une fois exécuté, le malware installe plusieurs composants, dont le service d’anonymisation Tor et paramètre un proxy pour intercepter les sites bancaires ciblés.

Retefe installe également un certificat racine falsifié prétendant avoir été émis et vérifié par l’autorité de certification Comodo, cela rend la fraude difficile à repérer pour l’utilisateur.

De nombreux navigateurs de recherche tels que Internet Explorer, Mozilla Firefox et Google Chrome ont été infectés. Dans certains cas, Retefe a tenté de tromper l’utilisateur en installant un composant mobile du malware utilisé pour contourner l’authentification deux facteurs.

Il s’agit d’une première pour le secteur financier : contrairement aux autres attaques mineures visant quotidiennement les banques, celle-ci a engendré une réaction publique de Tesco Bank, menant même à des mesures significatives pour en circonscrire les conséquences. La plupart des offensives de ce genre ne visent que quelques clients et sont généralement du fait de la négligence de ces mêmes clients, et non d’une défaillance généralisée de la banque menant à des malversations sur plusieurs milliers de comptes.

Phishing, spamming, vol d’identifiants ou de données bancaires sont des techniques largement utilisées par les fraudeurs pour tenter d’accéder aux comptes de leurs victimes. Il est en revanche bien plus rare de rencontrer une attaque perpétrée sur autant de comptes et de manière aussi systématique, ce qui laisse penser à une attaque plus sophistiquée que la normale, analyse encore ESET.