Un nuevo embate basado en otros anteriores, podría propagarse. Hasta el momento no hay de qué preocuparse, pero sí hay que estar alertas.
03/08/2017 | Por Redacción TNE
Después de los estragos ocasionados por WannaCry y más recientemente Petya y su variante NotPetya, una nueva amenaza hace acto de presencia, afectando a las instituciones bancarias y que se basa en el patrón de los dos virus mencionados anteriormente. Su nombre: Trickbot.
De acuerdo a una publicación de Flashpoint, una firma de seguridad, una versión denominada “1000029” del troyano Trickbot cuenta con un nuevo módulo; éste se esparce a través del spam del correo electrónico, haciéndose pasar por facturas enviadas por instituciones financieras a nivel internacional.
¿Cómo funciona? Windows tiene un protocolo de red llamado Server Message Block (SMB), el cual fue explotado por una vulnerabilidad llamada EternalBlue durante los ataques de WannaCry. Los desarrolladores de Trickbot usaron el SMB para identificar todos las computadoras en una red conectada vía un Protocolo Ligero de Acceso a Directorios (LDAP por sus siglas en inglés). El troyano también puede hacerse pasar por un archivo setup.exe y ser entregado a través de un PowerShell script para esparcirlo a través de procesos de comunicación internos.
Lo anterior es la forma más simple de buscar que el usuario abre documentos adjuntos sin reconocer el peligro que ello representa, permitiendo que el programa malicioso se instale en la computadora.
A pesar de que WannaCry y Petya llegaron a ocupar los principales encabezados noticiosos, aún no es momento de preocuparse por Trickbot. Según el portal ZDNet, los creadores de este “gusano” aparentemente lo están probando en vez de soltarlo. Por ahora, sólo es una alerta sobre cómo los cibercriminales están aprendiendo unos de otros y reforzando sus capacidades de ataque.
Afortunadamente, el módulo de este nuevo virus usa el SMB en búsquedas deliberadas de otros sitios en los que pueda propagarse. Esto en contraste con WannaCry, el cual podía buscar direcciones externas en cualquier parte. No importa qué tanto predomine este malware, aún depende del phishing para engañar a los usuarios para que éstos garanticen el acceso a los sistemas. Por lo tanto, está en sus manos evitar caer en las trampas y abrir archivos que puedan comprometer la información y los sistemas de la empresa. Otra sugerencia emitida por los investigadores es la de no ejecutar macros a menos que sea sumamente necesarios.
El virus surgió en 2016 y a la fecha ha afectado a más de 76 instituciones bancarias a nivel internacional. Otro detalle a tomar en cuenta es que no se le pueden sumar nuevas características debido a los módulos; sin embargo, puede modificarse en tu totalidad, pasando de ser un troyano hasta convertirse en un ransomware de alto impacto.
Te puede interesar también:
