Trickbot Troyano Bancario

Luego de que muchos de los sistemas informáticos del mundo fuesen afectados por el ransomware WannaCry, y de que el virus Petya haya agudizado la crisis de seguridad en los ordenadores de las grandes corporaciones, ha llegado el turno de un troyano bancario que parece seguir el patrón de infección de estos dos grandes virus.

Este troyano, conocido como Trickbot, se basa en el sistema SMB para esparcir infección de manera masiva en los ordenadores, y desde el año pasado se ha introducido en diversas entidades financieras a nivel mundial. Según algunos expertos en seguridad informática, lo común es que esta amenaza se presente mediante un correo electrónico, el cual incluye facturas adjuntas.

Esta es una de las maneras para inducir al usuario de correo a abrir el archivo adjunto sin conocer el riesgo, lo que ocasionará que el virus se introduzca en el ordenador. Una vez ocurrida esta intrusión, la infección de la red se pone en marcha. Sin embargo, la gran novedad de este troyano dedicado a instituciones financieras no es precisamente la infección, que como hemos comentado, ya tiene algunos meses causando daños a diversos sistemas informáticos.

Lo nuevo de Trickbot es la manera como este virus infecta la red, que a pesar de tener similitudes con WannaCry, ha sido completamente nueva. WannaCry se aprovechaba de la vulnerabilidad EternalBlue, sin embargo, Trickbot no cuenta con la capacidad para realizar escaneos de direcciones IP externas a SMB. Lo que sí hace es aprovecharse del protocolo LDAP para perpetrar el ataque y poner en jaque los sistemas involucrados.

Accede de forma remota a Mac o Windows desde Android con Splahstop

El virus nació en el año 2016 y hasta el momento ha atacado más de 76 bancos y entidades financieras en todo el mundo. A este virus no pueden ser incorporadas nuevas características debido a los módulos, sino que se puede cambiar totalmente, pudiendo pasar de ser un troyano a convertirse en un ransomware de alto alcance.

Los investigadores del virus han lanzado una advertencia para evitar que el troyano se propague, y se resume en no activar la ejecución de macros a menos que sea estrictamente necesario.

Más en TekCrispy