Мой кабинет

Троян Retefe может использовать эксплоит EternalBlue

Дэлавер, США – 26 сентября 2017 – Исследователи из Proofpoint обнаружили, что банковский троян Retefe использовал эксплоит EternalBlue. Последняя кампания с этим вредоносным ПО была направлена против банков в Швейцарии. Retefe используется злоумышленниками с 2013 года в атаках против учреждений в Центральной Европе, Великобритании и Японии. Троян перенаправляет пользователей на прокси, скрытые в сети Tor и замаскированные под страницы банков. Основной вектор распространения – направленный фишинг, письма содержат документы MS Office, которые при запуске загружают вредоносную нагрузку. Модификация, использующая для загрузки трояна Retefe эксплоит EternalBlue, появилась впервые 5 сентября. Похоже, что пока злоумышленники только экспериментировали с новым функционалом и не использовали этот эксплоит для дальнейшего распространения вируса, так как через две недели возможность использования эксплоита EternalBlue была заменена на логгирование.

Возможно, вскоре последует полноценная атака с использованием уязвимости CVE-2017-0144. Для защиты от распространения вируса через SMB необходимо убедиться, что на всех активах установлено обновление безопасности MS17-010. Так как Retefe перенаправляет трафик на сервера в сети Tor, вы можете воспользоваться для его обнаружения кейсом DetectTor в Use Case Cloud. С помощью этого кейса вы сможете обнаружить любые соединения с Tor и быстро обнаружить зараженные активы.

Related Posts