Numando Banking Trojan

Numando Banking Trojan Beskrivelse

En ny rapport har belyst endnu en banktrojan fra Latinamerika. Truslen hedder Numando, og den har været brugt i angrebskampagner siden mindst 2018. Mens Numando -operationerne hovedsageligt har været fokuseret på Brasilien, er der også blevet gennemført lejlighedskampagner i andre territorier, f.eks. Mexico og Spanien. Selvom trusselsaktørerne anvender flere nye teknikker og taktikker, såsom at bruge YouTube -video til fjernkonfiguration, har Numandos succesrate været lav på grund af den relative mangel på raffinement.

Angrebskæden

Angrebet begynder med spredning af spam -e -mails og phishing -beskeder. De beskadigede e -mails indeholder en lokkemelding og a.ZIP -vedhæftet fil. Arkivet indeholder en legitim applikation, en injektor og Numandos nyttelast. Når offeret lancerer det legitime program, sidelaster det injektoren og fører til udførelse af malware. I en anden variant af angrebskæden injiceres den utrygge nyttelast i et BMP -billede og ekstraheres efterfølgende. På trods af at det er mistænkeligt stort, er dette BMP -billede fuldstændig gyldigt og kan åbnes i mange billedredigerere og ses uden problemer. De påviste billeder indeholder ofte logoer for legitime softwareprodukter og virksomheder som Avast og Java.

De truende muligheder

Numandos hovedfunktionalitet er i overensstemmelse med alle de andre bank -trojanske heste fra regionen - ved at generere overlays over legitime bank- og betalingsapplikationer forsøger det at indsamle offerets legitimationsoplysninger og bankoplysninger. Derudover kan malware -truslen simulere mus og tastaturindgange, tvinge det inficerede system til at genstarte eller lukke ned, tage vilkårlige skærmbilleder og dræbe browserprocesser.

I modsætning til mange af de andre bank -trojanske heste fra Latinamerika -regionen ser Numando ikke ud til at være i aktiv udvikling. De opdagede versioner og prøver viser nogle mindre ændringer, der er blevet indført over tid, men der har ikke været større forbedringer eller tilføjelser.

Fjernkonfiguration via YouTube -videoer

Det mest markante kendetegn ved Numando er brugen af offentlige platforme som YouTube, Pastebin og andre til fjernkonfiguration. YouTube -videoerne indeholdt oplysninger, der følger et specifikt mønster, der genkendes af truslen. Strengen begynder med 'DATA: {' efterfulgt af tre poster adskilt med ':' før et lukkende '}' tegn. Efter at have fået besked af infosec -forskerne, der sporer truslen, har Google taget den video, der er involveret i de skadelige kampagner, ned.