パロアルトネットワークスは西ヨーロッパと日本を標的としたRetefeを配信する電子メールが急増していることを確認した。Retefeはインターネット上で最大の金融組織を狙う標的型トロイの木馬の一つで、ZeusやCitadelのマルウェアは世界中の銀行を標的としているのに対し、Retefeは主に日本、スウェーデン、スイスの銀行を標的にしている。
攻撃メールの内容は、標的国に合わせて様々な「注文」や「領収書」を装い重要な内容のファイルに見せかけている。メールの差出人は近隣の家電量販店を名乗り、日本では国内大手ECサイトを装ったメールが確認されている。今回の攻撃で配信されたRetefeはSmoke Loaderというモジュール型のバックドアのトロイの木馬をダウンロードし、認証情報搾取により別のマルウェアをインストールさせることが可能となる。
金融組織を狙うトロイの木馬の多くはSSLで暗号化される前にログイン情報をキャプチャするようウェブブラウザを攻撃して金融機関のWebサーバーに送信するが、RetefeはWindows PowerShellを使用してシステムに新規のルート証明書をインストールし、標的となる金融機関のウェブサイトへトラフィックを再ルーティングするプロキシ設定を行う一連のコマンドを実行する。Retefeトロイの木馬はルート証明書をディスクに書き込み、「certutil -addstore -f -user ROOT ProgramData\cert512121.der」のコマンドを使用してシステムにインストールする。Retefeの最新の証明者はThawte社の偽装証明書が使用されていた。
Retefeは世界的には小規模な拡散だが、わずか数か国のオンラインバンキングの顧客が特異的に標的化されている。最新のRetefeの攻撃では追加マルウェアのインストールに感染端末の利用も始めているため、他国のユーザも脅威の対象となる恐れがあるとしている。