Retefe, un malware especializado en la infección de sitios bancarios y la sustracción de efectivo de sus usuarios llega a Europa después de haber afectado a importantes entidades de la banca asiática. Hasta la fecha no hay mucha información en cuanto a las infecciones en la comunidad Europea, excepto que ya se han detectado casos en países como Suecia, Suiza y Austria aunque se cree que tendrá una rápida difusión vistas las numerosas infecciones que ha conseguido hacer gracias a varias entidades como:

  • Chiba Bank
  • Yamagata Bank
  • Chugoku Bank
  • Japan Post Bank
  • Awa Bank, Daishi Bank
  • Hokkoku Bank
  • Musashino Bank
  • Miyazaki Bank
Lo que más impresiona de éste malware es que la descarga del archivo malicioso se hace desde los propios servidores que albergan las páginas de los bancos afectados, por lo que el usuario en ningún momento sospecha que la infección se está produciendo, siempre es importante recordar y fijarse que las páginas de empresas que transfieren información sensible a través de la red, lo hacen cifrando las comunicaciones mediante certificados de seguridad emitidos por empresas reconocidas y siempre a su nombre, situación fácilmente identificable porque los navegadores muestran un signo de seguridad (escudo, candado...) precediendo al protocolo de comunicaciones seguras https en la ruta de acceso del navegador.

Protocolo de seguridad en el cifrado de comunicaciones


El ataque llega a través de un email de tipo spam o a través de una descarga directa desde el sitio infectado, una vez que terminal la descarga y se ejecuta la instalación, el malware procede a modificar los DNS del equipo infectado sustituyéndolos por los de los cyber-delincuentes, para que todas las transmisiones que se realicen a partir de ese momento pasen a través de sus propios servidores proxy pudiendo así capturar toda la información que sea enviada o recibida por el usuario infectado sin que éste tenga ningún conocimiento.

Una vez se dispone de la información transmitida (que incluye entre otro mucho tráfico, contraseñas y credenciales de acceso a todo tipo de sitios), solo se tiene que realizar una criba y seleccionar la información de la que los creadores del troyano puedan sacar provecho o pueden directamente redireccionar las transmisiones hacia alguna página que suplante a la entidad del afectado (phising), con un formulario similar al que podría tener el sitio web para dar acceso a sus clientes y capturar directamente la información necesaria para apoderarse de todo el saldo que pueda tener, dado que no siendo el sitio oficial, carecerá de certificados por lo que las transmisiones estarán completamente sin cifrar.

De momento sólo se han detectado variantes que afectan a equipos con el sistema operativo Microsoft Windows, pero la buena noticia es que los antivirus más reconocidos ya son capaces de detectarlo y evitar la infección de los sistemas objetivos.

De ahí la importancia del primer consejo de seguridad que desde Técnicos Web siempre damos cuando sale alguna noticia referente a virus, troyanos y malware de algún tipo y es el de tener sus sistemas siempre protegidos por un sistema antivirus reconocido y actualizado para poder detectar y eliminar las nuevas amenazas que van apareciendo cada día, además de que pueden pasarse si no lo han hecho ya por nuestra guía para detectar ataques phishing.

¿Has detectado correos sospechosos últimamente en tu bandeja de entrada?