Numando Banking Trojan

Numando Banking Trojan Descrizione

Un nuovo rapporto ha fatto luce su un altro Trojan bancario dall'America Latina. La minaccia si chiama Numando ed è stata utilizzata nelle campagne di attacco almeno dal 2018. Mentre le operazioni di Numando si sono concentrate principalmente sul Brasile, sono state effettuate campagne occasionali anche in altri territori, come Messico e Spagna. Sebbene gli attori delle minacce utilizzino diverse nuove tecniche e tattiche, come l'utilizzo di video di YouTube per la configurazione remota, la percentuale di successo di Numando è rimasta bassa a causa della relativa mancanza di sofisticatezza.

La catena dell'attacco

L'attacco inizia con la diffusione di e-mail di spam e messaggi di phishing. Le e-mail danneggiate contengono un messaggio esca e un allegato .ZIP. L'archivio contiene un'applicazione legittima, un iniettore e il payload di Numando. Quando la vittima avvia il programma legittimo, carica lateralmente l'iniettore e porta all'esecuzione del malware. In un'altra variante della catena di attacco, il payload non sicuro viene iniettato in un'immagine BMP ed estratto successivamente. Nonostante sia grande sospettosamente, questa immagine BMP è perfettamente valida e può essere aperta in numerosi editor di immagini e visualizzata senza problemi. Le immagini rilevate includono spesso i loghi di prodotti software legittimi e aziende come Avast e Java.

Le capacità minacciose

La funzionalità principale di Numando è coerente con tutti gli altri trojan bancari della regione: generando sovrapposizioni su applicazioni bancarie e di pagamento legittime, cerca di raccogliere le credenziali dell'account e le informazioni bancarie della vittima. Inoltre, la minaccia malware può simulare input da mouse e tastiera, forzare il riavvio o l'arresto del sistema infetto, acquisire schermate arbitrarie e interrompere i processi del browser.

A differenza di molti altri Trojan bancari della regione dell'America Latina, Numando non sembra essere in attivo sviluppo. Le versioni e gli esempi scoperti mostrano alcune modifiche minori che sono state introdotte nel tempo, ma non ci sono stati miglioramenti o aggiunte importanti.

Configurazione remota tramite video di YouTube

La caratteristica più sorprendente di Numando è l'uso di piattaforme pubbliche come YouTube, Pastebin e altre, per la configurazione remota. I video di YouTube includevano informazioni che seguono uno schema specifico riconosciuto dalla minaccia. La stringa inizia con 'DATA:{' seguito da tre voci separate da ':' prima del carattere '}' di chiusura. Dopo essere stato informato dai ricercatori di infosec che tracciavano la minaccia, Google ha rimosso il video coinvolto nelle campagne dannose.