Numando Banking Trojan
Nowy raport rzucił światło na kolejnego trojana bankowego z Ameryki Łacińskiej. Zagrożenie nosi nazwę Numando i jest używane w kampaniach ataków od co najmniej 2018 roku. Podczas gdy operacje Numando koncentrowały się głównie na Brazylii, kampanie okazjonalne przeprowadzono również na innych terytoriach, takich jak Meksyk i Hiszpania. Chociaż cyberprzestępcy stosują kilka nowatorskich technik i taktyk, takich jak używanie wideo z YouTube do zdalnej konfiguracji, wskaźnik sukcesu Numando pozostaje niski ze względu na względny brak wyrafinowania.
Spis treści
Łańcuch Ataku
Atak rozpoczyna się od rozpowszechniania wiadomości spamowych i wiadomości phishingowych. Uszkodzone wiadomości e-mail zawierają wiadomość z przynętą i załącznik.ZIP. Archiwum zawiera legalną aplikację, iniektor i ładunek Numando. Gdy ofiara uruchamia legalny program, ładuje on iniektor i prowadzi do uruchomienia szkodliwego oprogramowania. W innej odmianie łańcucha ataków niebezpieczny ładunek jest wstrzykiwany do obrazu BMP, a następnie wyodrębniany. Pomimo tego, że jest podejrzanie duży, ten obraz BMP jest całkowicie prawidłowy i można go otworzyć w wielu edytorach graficznych i wyświetlić bez żadnych problemów. Wykryte obrazy często zawierają loga legalnych produktów oprogramowania i firm, takich jak Avast i Java.
Zdolności grożące
Główna funkcjonalność Numando jest spójna ze wszystkimi innymi trojanami bankowymi z tego regionu – generując nakładki na legalne aplikacje bankowe i płatnicze, próbuje zebrać dane uwierzytelniające konto ofiary i informacje bankowe. Ponadto zagrożenie złośliwym oprogramowaniem może symulować wejścia myszy i klawiatury, wymusić ponowne uruchomienie lub zamknięcie zainfekowanego systemu, wykonywanie dowolnych zrzutów ekranu i zabijanie procesów przeglądarki.
W przeciwieństwie do wielu innych trojanów bankowych z regionu Ameryki Łacińskiej, Numando nie wydaje się aktywnie rozwijać. Odkryte wersje i próbki pokazują pewne drobne zmiany, które zostały wprowadzone z biegiem czasu, ale nie wprowadzono żadnych większych ulepszeń ani dodatków.
Zdalna konfiguracja przez filmy z YouTube
Najbardziej uderzającą cechą Numando jest wykorzystanie platform publicznych, takich jak YouTube, Pastebin i inne, do zdalnej konfiguracji. Filmy na YouTube zawierały informacje zgodne z określonym wzorcem rozpoznanym przez zagrożenie. Ciąg zaczyna się od „DATA:{”, po którym następują trzy wpisy oddzielone „:” przed znakiem zamykającym „}”. Po otrzymaniu powiadomienia od badaczy infosec śledzących zagrożenie, Google usunął film zaangażowany w szkodliwe kampanie.
