TrickBot es un troyano que se propaga de forma similar a WannaCry y NotPetya

0

El uso del protocolo SMB se ha convertido en un buen recurso para ayudar a difundir malware. Después de ver los estragos causados ​​por WannaCry y NotPetya, aparece malware que utiliza el mismo mecanismo para propagarse y obtener un mayor impacto, como es el caso de la nueva versión del troyano bancario TrickBot .

La última versión de TrickBot, conocida como «1000029» (v24), se ha encontrado utilizando el protocolo de bloque de mensajes de Windows Server (SMB) utilizado por Microsoft Windows para compartir recursos a través de una red (archivos, impresoras, unidades de red. ..), pudiendo compartir también con sistemas operativos similares a Unix a través de Samba una implementación de software libre del mismo protocolo.

Las versiones anteriores de TrickBot el año pasado se dirigieron a entidades financieras de todo el mundo, utilizando el método de phishing para infectar a sus víctimas. Sin embargo de acuerdo con Flashpoint el troyano ha evolucionado para propagarse localmente a través de redes SMB, aunque carece de algunas de las características más avanzadas vistas en WannaCry y 19459008 NotPetya como la capacidad de escanear aleatoriamente IPs externos para buscar conexiones SMB, las cuales fueron incorporadas a un exploit NSA llamado EternalBlue .

Flashpoint comenta que la versión actual del troyano bancario ha sido modificada para escanear dominios incluidos en una lista de servidores vulnerables a través de la API NetServerEnum de Windows, además de enumerar otros equipos conectados a la red a través de Lightweight Directory Access Protocol.

TrickBot también puede ser distribuido a través de un archivo setup.exe falso y enviado a través de una secuencia de comandos de PowerShell para propagarse a través de la comunicación entre procesos y así descargar versiones adicionales de TrickBot a unidades compartidas.

Evite abrir archivos o vínculos sospechosos o desconocidos, hacer copias de seguridad de forma rutinaria, tener antimalware y otro software con las actualizaciones de seguridad más recientes instaladas y deshabilitar SMB en caso de que no las use son un buen consejo a seguir. Para prevenir la infección por TrickBot.

Fuente: Las Noticias del Hacker