Numando Banking-trojan

Numando Banking-trojan Beschrijving

Een nieuw rapport heeft licht geworpen op nog een andere banktrojan uit Latijns-Amerika. De dreiging heet Numando en wordt in ieder geval sinds 2018 gebruikt in aanvalscampagnes. Terwijl de Numando-operaties zich voornamelijk op Brazilië richtten, zijn er ook incidentele campagnes uitgevoerd in andere gebieden, zoals Mexico en Spanje. Hoewel de bedreigingsactoren verschillende nieuwe technieken en tactieken gebruiken, zoals het gebruik van YouTube-video voor configuratie op afstand, is het slagingspercentage van Numando laag gebleven vanwege het relatieve gebrek aan verfijning.

De aanvalsketen

De aanval begint met de verspreiding van spam-e-mails en phishing-berichten. De beschadigde e-mails bevatten een lokaasbericht en een.ZIP-bijlage. Het archief bevat een legitieme applicatie, een injector en Numando's payload. Wanneer het slachtoffer het legitieme programma start, laadt het de injector op en leidt het tot de uitvoering van de malware. In een andere variant van de aanvalsketen wordt de onveilige lading in een BMP-afbeelding geïnjecteerd en vervolgens geëxtraheerd. Ondanks dat hij verdacht groot is, is deze BMP-afbeelding volkomen geldig en kan deze in tal van afbeeldingseditors worden geopend en zonder problemen worden bekeken. De gedetecteerde afbeeldingen bevatten vaak de logo's van legitieme softwareproducten en bedrijven zoals Avast en Java.

De dreigende mogelijkheden

De belangrijkste functionaliteit van Numando is consistent met alle andere banktrojaanse paarden uit de regio - door overlays te genereren over legitieme bank- en betalingsapplicaties probeert het de accountgegevens en bankgegevens van het slachtoffer te verzamelen. Bovendien kan de malware-bedreiging muis- en toetsenbordinvoer simuleren, het geïnfecteerde systeem dwingen opnieuw op te starten of af te sluiten, willekeurige schermafbeeldingen maken en browserprocessen beëindigen.

In tegenstelling tot veel van de andere bancaire Trojaanse paarden uit de regio Latijns-Amerika, lijkt Numando zich niet in actieve ontwikkeling te bevinden. De ontdekte versies en voorbeelden laten enkele kleine wijzigingen zien die in de loop van de tijd zijn geïntroduceerd, maar er zijn geen grote verbeteringen of toevoegingen geweest.

Configuratie op afstand via YouTube-video's

Het meest opvallende kenmerk van Numando is het gebruik van openbare platforms zoals YouTube, Pastebin en andere, voor configuratie op afstand. De YouTube-video's bevatten informatie die een specifiek patroon volgt dat door de dreiging wordt herkend. De string begint met 'DATA:{' gevolgd door drie items gescheiden door ':' vóór een afsluitend '}'-teken. Na op de hoogte te zijn gesteld door de infosec-onderzoekers die de dreiging volgen, heeft Google de video verwijderd die betrokken was bij de schadelijke campagnes.