Numando банков троянец
Нов доклад хвърли светлина върху поредния банков троянец от Латинска Америка. Заплахата е наречена Numando и е използвана в кампании за нападение поне от 2018 г. Докато операциите в Numando са били насочени главно към Бразилия, случайни кампании са били проведени и в други територии, като Мексико и Испания. Въпреки че участниците в заплахата използват няколко нови техники и тактики, като например използването на видеоклипове в YouTube за отдалечена конфигурация, процентът на успех на Numando остава нисък поради относителната липса на изтънченост.
Съдържание
Веригата за атака
Атаката започва с разпространение на спам имейли и фишинг съобщения. Повредените имейли съдържат съобщение със стръв и прикачен файл a.ZIP. Архивът съдържа законно приложение, инжектор и полезен товар на Numando. Когато жертвата стартира легитимната програма, тя зарежда инжектора отстрани и води до изпълнението на зловредния софтуер. В друг вариант на веригата за атака, опасният полезен товар се инжектира в BMP изображение и се извлича впоследствие. Въпреки че е подозрително голям, това BMP изображение е напълно валидно и може да се отваря в множество редактори на изображения и да се разглежда без проблеми. Откритите изображения често включват лога на законни софтуерни продукти и компании като Avast и Java.
Заплашващите способности
Основната функционалност на Numando е в съответствие с всички останали банкови троянски коне от региона - чрез генериране на наслагвания върху легитимни банкови и платежни приложения, той се опитва да събира идентификационни данни за сметка на жертвата и банкова информация. Освен това заплахата от злонамерен софтуер може да симулира въвеждане на мишка и клавиатура, да принуди заразената система да се рестартира или изключи, да прави произволни екранни снимки и да убива процесите в браузъра.
За разлика от много други банкови троянски коне от региона на Латинска Америка, изглежда, че Numando не се развива активно. Откритите версии и мостри показват някои малки промени, които са били въведени с течение на времето, но няма значителни подобрения или допълнения.
Дистанционно конфигуриране чрез видеоклипове в YouTube
Най -забележителната характеристика на Numando е използването на публични платформи като YouTube, Pastebin и други за отдалечено конфигуриране. Видеоклиповете в YouTube включват информация, която следва конкретен модел, разпознат от заплахата. Низът започва с „DATA: {“, последван от три записа, разделени с „:“ преди затварящия знак „}“. След като бяха уведомени от изследователите на infosec, проследяващи заплахата, Google премахна видеоклипа, участващ в вредните кампании.
