Utilizar el protocolo SMB se ha convertido en buen recurso para ayudar a esparcir un malware. Después de ver los estragos causados por WannaCry y NotPetya, está apareciendo malware que usa el mismo mecanismo para difundirse y conseguir así un mayor impacto, como es el caso de la nueva versión del troyano bancario TrickBot.

La última versión de TrickBot, conocida como “1000029” (v24), ha sido encontrada haciendo uso del protocolo SMB (Windows Server Message Block), utilizado por Microsoft Windows para compartir recursos a través de red (ficheros, impresoras, unidades de red… ), pudiendo compartir también con sistemas operativos Unix y Unix-like mediante Samba, una implementación software libre del mismo protocolo.

Las versiones anteriores de TrickBot tuvieron el año pasado como objetivo a entidades financieras de todo el mundo, usando el método de phishing para infectar a sus víctimas. Sin embargo, según Flashpoint, el troyano ha evolucionado para propagarse localmente a través de las redes mediante SMB, aunque carece de algunas de las características más avanzadas vistas en WannaCry y NotPetya, como la capacidad de escanear de forma aleatoria IP externas para buscar conexiones SMB, las cuales fueron incorporadas en un exploit de la NSA llamado EternalBlue.

Flashpoint comenta que la actual versión del troyano bancario ha sido modificado para escanear dominios incluidos en una lista de servidores vulnerables a través de la API NetServerEnum de Windows, además de enumerar otras computadoras conectadas a la red a través de LDAP (Lightweight Directory Access Protocol).

TrickBot también puede ser distribuido mediante un falso fichero setup.exe y enviado a través de un script de PowerShell para propagarse por la comunicación entre procesos y descargar así versiones adicionales de TrickBot en unidades compartidas.

Evitar abrir ficheros o enlaces sospechosos o de origen desconocido, hacer copias de seguridad de forma rutinaria, tener el antimalware y el resto del software con las últimas actualizaciones de seguridad instaladas e inhabilitar SMB en caso de no usarlo son buenos consejos a seguir para evitar la infección por TrickBot.

Fuente: The Hacker News