بدافزار Retefe که پیشتر به بانکها حمله کرده بود دوباره سر و کلهاش پیدا شده اما این بار میخواهد با استفاده از نقص امنیتی EternalBlue موسسات مالی سوئیس را هدف قرار دهد.
EternalBlue که توسط NSA طراحی و به وسیله یک گروه هکری شناسایی شد، یک نقص امنیتی در سیستم عامل ویندوز است که با استفاده از قابلیتهای کرم گونه خود از نسخه خاصی از پروتکل شبکه پیام سرور (SM) برای توزیع شدن در شبکههای آلوده استفاده میکند.
حمله باجافزاری WannaCry با استفاده از همین EternalBlue در ماه مه (اردیبهشت) توانست به سرعت خود را در سراسر جهان پخش کند. اکنون این ابزار به الگویی برای سایر بدافزارها تبدیل شده و صاحبان بدافزار Retefe میخواهند از آن برای سرقت اطلاعات و پولهای نقد بانکهای سوئیسی استفاده کنند.
برخلاف سایر تروجانهای بانکی که برای ربودن جلسات بانکی آنلاین از تکنیک Webinject استفاده میکنند، Retefe ترافیکهای ورودی و خروجی بانکهای هدف را از طریق سرورهایی که در شبکه پروکسی TOR میزبانی شده هدایت میکند. این سایتهای پروکسی که ظاهری شبیه به صفحه ورود بانکهای مورد نظر دارند، اطلاعات قربانی را میدزدند و به حساب آنان دسترسی پیدا میکنند.
البته صاحبان بدافزار Retefe تنها کسانی نیستند که میخواهند از EternalBlue برای تقویت بدافزارهای خود استفاده کنند. بدافزار Trickbot هم در حال آزمایش این اکسپلویت است.
به دنبال انتشار عمومی ابزارهای هک NSA، مایکروسافت با انتشار چندین پچ برای محافظت از کاربران در برابر حملاتی که از EternalBlue استفاده میکردند، اقدام کرد.
با این وجود، همان طور که آثار بدافزار WannaCry نشان داد، هنوز هم خیلی از شرکتها این بهروزرسانیهای مهم را دریافت نکردهاند و در برابر ابزارهای مجهز به این اکسپلویت، آسیبپذیر و مستعد خطر هستند. و این ضرورت توجه به سیستمهای کنترل صنعتی در برابر حملات سایبری را دوچندان کرده است.