누만도 뱅킹 트로이목마

새로운 보고서에서 라틴 아메리카의 또 다른 뱅킹 트로이 목마가 밝혀졌습니다. 위협의 이름은 Numando이며 적어도 2018년부터 공격 캠페인에 사용되었습니다. Numando 작전은 주로 브라질에 집중되었지만 멕시코 및 스페인과 같은 다른 지역에서도 가끔 캠페인이 수행되었습니다. 위협 행위자는 원격 구성을 위해 YouTube 비디오를 사용하는 것과 같은 몇 가지 새로운 기술과 전술을 사용하지만 상대적으로 정교함이 부족하여 Numando의 성공률은 여전히 낮습니다.

공격 사슬

공격은 스팸 이메일과 피싱 메시지의 유포로 시작됩니다. 손상된 이메일에는 미끼 메시지와 ZIP 첨부 파일이 포함되어 있습니다. 아카이브에는 합법적인 애플리케이션, 인젝터 및 Numando의 페이로드가 포함되어 있습니다. 피해자가 합법적인 프로그램을 시작하면 인젝터를 사이드로드하여 악성코드를 실행합니다. 공격 체인의 또 다른 변형에서는 안전하지 않은 페이로드가 BMP 이미지에 주입되고 후속적으로 추출됩니다. 크기가 의심스러울 정도로 크지만 이 BMP 이미지는 완벽하게 유효하며 수많은 이미지 편집기에서 열 수 있으며 문제 없이 볼 수 있습니다. 감지된 이미지에는 Avast 및 Java와 같은 합법적인 소프트웨어 제품 및 회사의 로고가 포함되는 경우가 많습니다.

위협적인 능력

Numando의 주요 기능은 이 지역의 다른 모든 뱅킹 트로이 목마와 일치합니다. 합법적인 뱅킹 및 결제 애플리케이션에 오버레이를 생성하여 피해자의 계정 자격 증명 및 뱅킹 정보를 수집하려고 합니다. 또한 맬웨어 위협은 마우스 및 키보드 입력을 시뮬레이션하고 감염된 시스템을 강제로 다시 시작하거나 종료하고 임의의 스크린샷을 찍고 브라우저 프로세스를 종료할 수 있습니다.

라틴 아메리카 지역의 다른 많은 뱅킹 트로이 목마와 달리 Numando는 활발하게 개발 중인 것으로 보이지 않습니다. 발견된 버전과 샘플은 시간이 지남에 따라 도입된 몇 가지 사소한 변경 사항을 보여주지만 주요 개선 사항이나 추가 사항은 없습니다.

YouTube 동영상을 통한 원격 구성

Numando의 가장 두드러진 특징은 원격 구성을 위해 YouTube, Pastebin 등과 같은 공용 플랫폼을 사용한다는 것입니다. YouTube 동영상에는 위협이 인식한 특정 패턴을 따르는 정보가 포함되어 있습니다. 문자열은 'DATA:{'로 시작하고 닫는 '}' 문자 앞에 ':'로 구분된 세 개의 항목이 옵니다. 위협을 추적하는 infosec 연구원의 알림을 받은 후 Google은 유해한 캠페인과 관련된 동영상을 삭제했습니다.