Numando Banking Trojan

Descrição do Numando Banking Trojan

Um novo relatório lançou luz sobre mais um Trojan bancário da América Latina. A ameaça se chama Numando e tem sido usada em campanhas de ataque desde pelo menos 2018. Embora as operações do Numando tenham se concentrado principalmente no Brasil, algumas campanhas também foram realizadas em outros territórios, tais como México e Espanha. Embora os autores da ameaça empreguem várias novas técnicas e táticas, tais como o uso de vídeos do YouTube para configuração remota, a taxa de sucesso do Numando permaneceu baixa devido à relativa falta de sofisticação.

A Cadeia de Ataque

O ataque começa com a disseminação de e-mails de spam e mensagens de phishing. Os e-mails corrompidos contêm uma mensagem de isca e um anexo .ZIP. O arquivo contém um aplicativo legítimo, um injetor e a carga útil do Numando. Quando a vítima inicia o programa legítimo, ele carrega o injetor lateralmente e leva à execução do malware. Em outra variação da cadeia de ataque, a carga útil insegura é injetada em uma imagem BMP e extraída posteriormente. Apesar de ser grande e suspeito, esta imagem BMP é perfeitamente válida e pode ser aberta em vários editores de imagem e visualizada sem problemas. As imagens detectadas geralmente incluem logotipos de produtos de software legítimos e empresas como Avast e Java.

As Capacidades Ameaçadoras

A principal funcionalidade do Numando é consistente com todos os outros Trojans bancários da região - ao gerar sobreposições em aplicativos bancários e de pagamento legítimos, ele tenta coletar as credenciais da conta da vítima e informações bancárias. Além disso, a ameaça de malware pode simular entradas de mouse e teclado, forçar o sistema infectado a reiniciar ou desligar, fazer capturas de tela arbitrárias e eliminar processos do navegador.

Ao contrário de muitos outros Trojans bancários da região da América Latina, o Numando não parece estar em desenvolvimento ativo. As versões e exemplos descobertos mostram algumas pequenas alterações que foram introduzidas ao longo do tempo, mas não houve grandes melhorias ou acréscimos.

Configuração Remota por Meio de Vídeos do YouTube

A característica mais marcante do Numando é o uso de plataformas públicas, tais como YouTube, Pastebin, entre outras, para configuração remota. Os vídeos do YouTube incluem informações que seguem um padrão específico reconhecido pela ameaça. A string começa com 'DATA: {' seguido por três entradas separadas por ':' antes de um caractere de fechamento '}'. Depois de ser notificado pelos pesquisadores da Infosec que rastreavam a ameaça, o Google retirou do ar o vídeo envolvido nas campanhas nocivas.