Un tercer troyano bancario ha añadido
soporte para EternalBlue. Una hazaña supuestamente creada por la NSA, filtrada
en línea por los Shadow Brokers, y la principal fuerza detrás de los brotes de
ransomware de WannaCry y NotPetya.
Los primeros troyanos bancarios que lo
hicieron fueron Emotet y TrickBot, en julio de este año. Estos dos troyanos bancarios
utilizaron pesadas personalizaciones de EternalBlue para extenderse a otros
equipos de la misma red interna. Todo ello en busca de ordenadores con datos
más sensibles o más víctimas a las que comprometer.
Nuevo troyano
bancario
Las actualizaciones de estos dos
troyanos parecen haber inspirado a los creadores del troyano bancario Retefe,
ya que ahora han hecho lo mismo.
Según los investigadores de
Proofpoint, a partir del 5 de septiembre, Retefe ha estado usando EternalBlue
como parte de su rutina de infección también. Su propósito es el mismo:
permitir a los atacantes trasladar una infección inicial a otros equipos de la
misma red que exponen los servicios SMBv1 obsoletos.
Al igual que con Emotet y TrickBot,
Retefe parece haber modificado la prueba de concepto EternalBlue y explotar así
código publicado en GitHub.
Ver el grupo Retefe agregar soporte
para EternalBlue no es ninguna sorpresa. Junto con Qbot, la banda Retefe
prefiere los ataques a pequeña escala en comparación con el enfoque masivo de
spam de otros troyanos bancarios como TrickBot o Dridex.
Pocos países
El grupo de Retefe generalmente apunta
a clientes de bancos en países como Austria, Suecia, Suiza y Japón. El equipo
ha estado activo desde 2013 y es también uno de los pocos troyanos bancarios
que tiene una alternativa Mac, detectada como Dok.
El troyano también es único porque no
utiliza ganchos de navegador para inyectar páginas de acceso falsas por encima
de sitios legítimos. Retefe es uno de los pocos troyanos bancarios aún activos
hoy en día que se basa en la modificación de la configuración de proxy del
ordenador para redirigir el tráfico de ciertos sitios web a clones alojados en
los servidores de los atacantes.
Además, la mayoría de estos servidores
se almacenan en la Dark Web, dificultando la mayoría de los esfuerzos para
rastrear a los auténticos autores del troyano.
Clientes con poder
Muchos creen que al grupo de Retefe le
gusta concentrarse en los bancos suizos debido al potencial de hacer grandes
sumas de dinero ya que estos bancos suelen atender a clientes de gama alta y a
grandes empresas.
Debido a su mayor actividad en Suiza,
el equipo local CERT ha estado observando muy de cerca las variantes Retefe, y
actualmente, su reporte es uno de los más detallados que están disponibles para
los investigadores.
En los últimos tiempos hemos podido
ver cómo ha aumentado el número de ransomware. Como sabemos, el objetivo es
cifrar los archivos de un equipo para posteriormente pedir un rescate para
habilitarlos de nuevo. Como siempre decimos lo mejor es mantener nuestro equipo
actualizado, con software de seguridad y realizar copias de seguridad de forma
periódica. Así lograremos evitar perder datos.
Fuente: Bleeping Computer