TrickBot, el troyano que imita a WannaCry e infecta ordenadores a través de SMB
A nadie se le ha olvidado todavía el revuelo que generó el ya famoso ransomware WannaCry, el virus que consiguió infectar a numerosas compañías de distintos países, como la española Telefónica, instituciones públicas e incluso hospitales. Mientras que esto ocurría el pasado mes de mayo, a finales de junio llegaba Petya siguiendo los pasos de WannaCry. Pues bien, ahora es una nueva variantes de Trickbot, otra amenaza que sigue los pasos de WannaCry y Petya pero con algunas diferencias.
Decimos que sigue los pasos de ellos porque TrickBot se aprovecha una vez más del sistema SMB de Windows para infectar a sus víctimas, algo que además parece estar consiguiendo de forma masiva nuevamente. En este caso, este troyano, que es como se le ha clasificado a TrickBot , lo que hace es aprovecharse del protocolo LDAP, ya que no tiene la capacidad de escanear las direcciones IP externas al sistema SMB.
TrickBot se distribuye en un mensaje de correo como archivo adjunto que simula ser facturas
Además de ser un tipo de malware distinto, en este caso no es un ransomware, el troyano bancario se está distribuyendo a través de un mensaje de correo electrónico que va acompañado de un archivo adjunto. Algo que parece ser viene haciéndose desde el año pasado y cuyo objetivo son las entidades financieras de todas partes del mundo.
En este mensaje de correo, el archivo adjunto que aparece simulan ser facturas, por lo que se incita a pinchar sobre ellas para abrirlas. Es en ese momento donde esta nueva versión de TrickBot entra en acción ya que se cuela en el ordenador y lleva a las víctimas a una página de acceso falsa utilizada para robar las credenciales. Una vez que ha llegado hasta ahí, lo siguiente es comenzar a infectar a todos los demás equipos conectados a la misma red, por lo que rápidamente puede infectar todos los ordenadores de un banco.
Aunque el troyano bancario no está alcanzando las dimensiones de sus antecesores, Petya y sobre todo WannaCry, si se trata de una importante amenaza importante para la seguridad informática a nivel global y sobre todo en el ámbito financiero o bancario. Por lo tanto, es recomendable ser extremadamente cuidadoso a la hora de recibir un mensaje de correo de un remitente que no sea de nuestra plena confianza y lleve archivos adjuntos.
Esta nueva versión de TrickBot puede también disfrazarse del proceso setup.exe y ser entregado a las víctimas a través de un script de PowerShell que lo único que hace es propagarse a través de la comunicación entre procesos y descargar el troyano en las unidades compartidas.