Numando Banking Trojan

Numando Banking Trojan Beskrivning

En ny rapport har belyst ännu en banktrojan från Latinamerika. Hotet heter Numando, och det har använts i attackkampanjer sedan minst 2018. Medan Numando -operationerna huvudsakligen har varit inriktade på Brasilien har tillfälliga kampanjer också genomförts i andra territorier, till exempel Mexiko och Spanien. Även om hotaktörerna använder flera nya tekniker och taktiker, till exempel att använda YouTube -video för fjärrkonfiguration, har Numandos framgångshastighet varit låg på grund av den relativa bristen på sofistikering.

Attackkedjan

Attacken börjar med att sprida e -postmeddelanden och nätfiske. De skadade e -postmeddelandena innehåller ett betesmeddelande och en.ZIP -bilaga. Arkivet innehåller en legitim ansökan, en injektor och Numandos nyttolast. När offret startar det legitima programmet laddar det injektorn på sidorna och leder till att skadlig programvara körs. I en annan variant av attackkedjan injiceras den osäkra nyttolasten i en BMP -bild och extraheras därefter. Trots att den är misstänkt stor, är denna BMP -bild helt giltig och kan öppnas i många bildredigerare och ses utan problem. De upptäckta bilderna innehåller ofta logotyper för legitima mjukvaruprodukter och företag som Avast och Java.

De hotande förmågorna

Numandos huvudfunktionalitet överensstämmer med alla andra banktrojaner från regionen - genom att generera överlägg över legitima bank- och betalningsapplikationer försöker den samla offrets kontouppgifter och bankinformation. Dessutom kan hotet mot skadlig kod simulera mus- och tangentbordsinmatningar, tvinga det infekterade systemet att starta om eller stänga av, ta godtyckliga skärmdumpar och döda webbläsarprocesser.

Till skillnad från många av de andra banktrojanerna från Latinamerika -regionen verkar Numando inte vara i aktiv utveckling. De upptäckta versionerna och proverna visar några mindre förändringar som har införts över tid men det har inte skett några större förbättringar eller tillägg.

Fjärrkonfiguration via YouTube -videor

Det mest slående kännetecknet för Numando är användningen av offentliga plattformar som YouTube, Pastebin och andra för fjärrkonfiguration. YouTube -videorna innehöll information som följer ett specifikt mönster som hotet känner igen. Strängen börjar med 'DATA: {' följt av tre poster separerade med ':' före ett avslutande '}' tecken. Efter att ha informerats av infosec -forskarna som spårar hotet har Google tagit bort videon som är involverad i de skadliga kampanjerna.