Un tercer troyano bancario ha añadido soporte para EternalBlue. Una hazaña supuestamente creada por la NSA, filtrada en línea por los Shadow Brokers, y la principal fuerza detrás de los brotes de ransomware de WannaCry y NotPetya. Los primeros troyanos bancarios que lo hicieron fueron Emotet y TrickBot, en julio de este año. Estos dos troyanos bancarios utilizaron pesadas personalizaciones de EternalBlue para extenderse a otros equipos de la misma red interna. Todo ello en busca de ordenadores con datos más sensibles o más víctimas a las que comprometer.

Nuevo troyano bancario

Las actualizaciones de estos dos troyanos parecen haber inspirado a los creadores del troyano bancario Retefe, ya que ahora han hecho lo mismo.

Según los investigadores de Proofpoint, a partir del 5 de septiembre, Retefe ha estado usando EternalBlue como parte de su rutina de infección también. Su propósito es el mismo: permitir a los atacantes trasladar una infección inicial a otros equipos de la misma red que exponen los servicios SMBv1 obsoletos.

Al igual que con Emotet y TrickBot, Retefe parece haber modificado la prueba de concepto EternalBlue y explotar así código publicado en GitHub.

Ver el grupo Retefe agregar soporte para EternalBlue no es ninguna sorpresa. Junto con Qbot, la banda Retefe prefiere los ataques a pequeña escala en comparación con el enfoque masivo de spam de otros troyanos bancarios como TrickBot o Dridex.

Pocos países

El grupo de Retefe generalmente apunta a clientes de bancos en países como Austria, Suecia, Suiza y Japón. El equipo ha estado activo desde 2013 y es también uno de los pocos troyanos bancarios que tiene una alternativa Mac, detectada como Dok.

El troyano también es único porque no utiliza ganchos de navegador para inyectar páginas de acceso falsas por encima de sitios legítimos. Retefe es uno de los pocos troyanos bancarios aún activos hoy en día que se basa en la modificación de la configuración de proxy del ordenador para redirigir el tráfico de ciertos sitios web a clones alojados en los servidores de los atacantes.

Además, la mayoría de estos servidores se almacenan en la Dark Web, dificultando la mayoría de los esfuerzos para rastrear a los auténticos autores del troyano.

Clientes con poder

Muchos creen que al grupo de Retefe le gusta concentrarse en los bancos suizos debido al potencial de hacer grandes sumas de dinero ya que estos bancos suelen atender a clientes de gama alta y a grandes empresas.

Debido a su mayor actividad en Suiza, el equipo local CERT ha estado observando muy de cerca las variantes Retefe, y actualmente, su reporte es uno de los más detallados que están disponibles para los investigadores.

En los últimos tiempos hemos podido ver cómo ha aumentado el número de ransomware. Como sabemos, el objetivo es cifrar los archivos de un equipo para posteriormente pedir un rescate para habilitarlos de nuevo. Como siempre decimos lo mejor es mantener nuestro equipo actualizado, con software de seguridad y realizar copias de seguridad de forma periódica. Así lograremos evitar perder datos.