Después de la NSA, ahora son los ciberdelincuentes los que se benefician de este exploit. Expertos en seguridad han detectado una nueva variante del troyano bancarios Retefe. Esta nueva versión ha recibido una actualización que podríamos considerar importante. La amenaza ahora cuenta con la ayuda del exploit EternalBlue, abriendo aún más el abanico de funciones a disposición de los ciberdelincuentes.
No ha sido el único troyano que se ha seguido este camino. Sin ir más lejos, TrickBot fue el último que se detectó en Internet que había añadido este exploit. Ahora es Retefe el que también se ha sumado a este listado, buscando de alguna forma alcanzar la reputación de otras amenazas similares, algo que no ha tenido en ningún momento, o al menos hasta este momento.
La última actualización de su código permite que la amenaza se pueda aprovechar de la vulnerabilidad SMBv1, existente todavía en muchos equipos Windows, algo que preocupa a los expertos en seguridad, existiendo una tasa de adquisición de la actualización que soluciona el problema baja. Sin embargo, esto es algo bastante habitual si hablamos de problemas de seguridad, y que no solo podemos encontrar a nivel de sistemas operativos.
Austria, Suecia, Suiza o Japón son algunos países que se han visto salpicados hasta este momento por el troyano bancario Retefe.
¿Cuál es el funcionamiento de Retefe?
A diferencia de otros softwares maliciosos similares, basados en la inyección de código en formularios legítimos visitados por los usuarios, esta amenaza lo que hace es redirigir al usuario a través de unos proxy, ubicados generalmente en la red Tor.
En lo que se refiere a su distribución, los expertos en seguridad han detectado que, en las últimas semanas, los ciberdelincuentes se afanado en distribuir mensajes con documentos de Microsoft Word adjuntos. Sin embargo, la apertura del archivo y la activación de las macros permite que se realice la descarga del instalador de Retefe.
¿Las herramientas de seguridad detectan la amenaza?
De acuerdo a los resultados de varios informes, parece que las herramientas de seguridad son capaces de detectar y detener la ejecución de la amenaza. Por este motivo, se recomienda a los usuarios disponer de una solución antivirus con análisis en tiempo real y que esté correctamente actualizada.
Otro consejo es rechazar directamente aquellos mensajes de correo electrónico cuya procedencia sea más que dudosa.
La inclusión de EternalBlue
La nota más relevante es sin lugar a dudas la inclusión de este exploit. Su finalidad está bastante acotada. Ya hemos mencionado con anterioridad que los ciberdelincuentes buscan de alguna forma la difusión de las amenazas. La vulnerabilidad presente en SMBv1 ayuda y mucho a su distribución, siendo especialmente peligroso si hablamos de redes LAN corporativas. Es decir, la única funcionalidad que este exploit añade al dispositivo es la de su distribución a través del servicio afectado. Por lo demás continúa siendo un troyano bancario que puede tener una mayor o menor peligrosidad a nivel de robo de información de formularios.
Si queremos evitar que esto suceda, lo mejor es actualizar nuestro equipo si no lo hemos hecho.
Fuente:https://www.redeszone.net/2017/09/23/troyano-bancario-retefe-incluye-exploit-eternalblue/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
