Threat Database Banking Trojan Numando Banking Trojan

Numando Banking Trojan

एक नई रिपोर्ट ने लैटिन अमेरिका से एक और बैंकिंग ट्रोजन पर प्रकाश डाला है। खतरे को नुमांडो नाम दिया गया है, और इसका उपयोग कम से कम 2018 से हमले के अभियानों में किया गया है। जबकि नुमांडो संचालन मुख्य रूप से ब्राजील पर केंद्रित है, अवसर अभियान अन्य क्षेत्रों जैसे मैक्सिको और स्पेन में भी चलाए गए हैं। हालांकि धमकी देने वाले अभिनेता कई नई तकनीकों और युक्तियों को नियोजित करते हैं, जैसे कि दूरस्थ कॉन्फ़िगरेशन के लिए YouTube वीडियो का उपयोग करना, परिष्कार की सापेक्ष कमी के कारण नुमांडो की सफलता दर कम रही है।

हमले की श्रृंखला

हमले की शुरुआत स्पैम ईमेल और फ़िशिंग संदेशों के प्रसार से होती है। दूषित ईमेल में एक चारा संदेश और एक ज़िप संलग्नक होता है। संग्रह में एक वैध अनुप्रयोग, एक इंजेक्टर और नुमांडो का पेलोड शामिल है। जब पीड़ित वैध प्रोग्राम लॉन्च करता है, तो यह इंजेक्टर को साइड-लोड करता है और मैलवेयर के निष्पादन की ओर ले जाता है। हमले की श्रृंखला के एक अन्य रूपांतर में, असुरक्षित पेलोड को बीएमपी छवि में अंतःक्षिप्त किया जाता है और बाद में निकाला जाता है। संदेहास्पद रूप से बड़ी होने के बावजूद, यह बीएमपी छवि पूरी तरह से मान्य है और इसे कई छवि संपादकों में खोला जा सकता है और बिना किसी समस्या के देखा जा सकता है। खोजी गई छवियों में अक्सर वैध सॉफ़्टवेयर उत्पादों और अवास्ट और जावा जैसी कंपनियों के लोगो शामिल होते हैं।

धमकी देने की क्षमता

नुमांडो की मुख्य कार्यक्षमता क्षेत्र के अन्य सभी बैंकिंग ट्रोजन के अनुरूप है - वैध बैंकिंग और भुगतान अनुप्रयोगों पर ओवरले उत्पन्न करके यह पीड़ित के खाते की साख और बैंकिंग जानकारी एकत्र करने का प्रयास करता है। इसके अलावा, मैलवेयर का खतरा माउस और कीबोर्ड इनपुट का अनुकरण कर सकता है, संक्रमित सिस्टम को पुनरारंभ करने या बंद करने के लिए मजबूर कर सकता है, मनमाने स्क्रीनशॉट ले सकता है और ब्राउज़र प्रक्रियाओं को मार सकता है।

लैटिन अमेरिका क्षेत्र के कई अन्य बैंकिंग ट्रोजन के विपरीत, नुमांडो सक्रिय विकास में प्रतीत नहीं होता है। खोजे गए संस्करण और नमूने कुछ छोटे बदलाव दिखाते हैं जो समय के साथ पेश किए गए हैं लेकिन कोई बड़ा सुधार या परिवर्धन नहीं हुआ है।

YouTube वीडियो के माध्यम से दूरस्थ कॉन्फ़िगरेशन

नुमांडो की सबसे खास विशेषता दूरस्थ कॉन्फ़िगरेशन के लिए YouTube, Pastebin, और अन्य जैसे सार्वजनिक प्लेटफ़ॉर्म का उपयोग है। YouTube वीडियो में ऐसी जानकारी शामिल थी जो खतरे से पहचाने जाने वाले एक विशिष्ट पैटर्न का अनुसरण करती है। स्ट्रिंग 'डेटा: {' से शुरू होती है और उसके बाद '}' वर्ण से पहले ':' से अलग की गई तीन प्रविष्टियां होती हैं। खतरे पर नज़र रखने वाले इन्फोसेक शोधकर्ताओं द्वारा अधिसूचित किए जाने के बाद, Google ने हानिकारक अभियानों में शामिल वीडियो को हटा दिया है।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...