Банковский троян Numando

Банковский троян Numando Описание

Новый отчет пролил свет на еще одного банковского трояна из Латинской Америки. Угроза получила название Numando, и она использовалась в кампаниях атак по крайней мере с 2018 года. Хотя операции Numando были в основном сосредоточены на Бразилии, специальные кампании также проводились на других территориях, таких как Мексика и Испания. Хотя злоумышленники используют несколько новых методов и тактик, таких как использование видео YouTube для удаленной настройки, вероятность успеха Numando остается низкой из-за относительной недостаточной сложности.

Цепочка атак

Атака начинается с распространения спама и фишинговых сообщений. Поврежденные электронные письма содержат сообщение-приманку и вложение в формате ZIP. Архив содержит легитимное приложение, инжектор и полезную нагрузку Numando. Когда жертва запускает легитимную программу, она загружает инжектор сбоку и приводит к выполнению вредоносного ПО. В другом варианте цепочки атак небезопасная полезная нагрузка вводится в изображение BMP и впоследствии извлекается. Несмотря на подозрительно большой размер, это изображение BMP совершенно корректно, его можно открыть во многих редакторах изображений и просмотреть без каких-либо проблем. Обнаруженные изображения часто включают логотипы законных программных продуктов и таких компаний, как Avast и Java.

Угрожающие возможности

Основная функциональность Numando совпадает со всеми другими банковскими троянами из этого региона - путем создания оверлеев над законными банковскими и платежными приложениями он пытается собрать учетные данные и банковскую информацию жертвы. Кроме того, угроза вредоносного ПО может имитировать ввод с помощью мыши и клавиатуры, принудительно перезапускать или выключать зараженную систему, делать произвольные снимки экрана и прекращать процессы браузера.

В отличие от многих других банковских троянцев из региона Латинской Америки, Numando, похоже, не находится в активной разработке. Обнаруженные версии и образцы действительно показывают некоторые незначительные изменения, которые были внесены с течением времени, но не было никаких серьезных улучшений или дополнений.

Удаленная настройка через видео на YouTube

Наиболее яркой характеристикой Numando является использование общедоступных платформ, таких как YouTube, Pastebin и других, для удаленной настройки. Видео на YouTube содержали информацию, которая следует определенной схеме, распознаваемой угрозой. Строка начинается с «DATA: {», за которым следуют три записи, разделенные «:» перед закрывающим символом «}». Получив уведомление от исследователей информационной безопасности, отслеживающих угрозу, Google удалил видео, участвовавшее в вредоносных кампаниях.