Numando Banking Trojan
Yeni bir rapor, Latin Amerika'dan bir başka bankacılık Truva atına daha ışık tuttu. Tehdit Numando olarak adlandırılıyor ve en az 2018'den beri saldırı kampanyalarında kullanılıyor. Numando operasyonları ağırlıklı olarak Brezilya'ya odaklanırken, Meksika ve İspanya gibi diğer bölgelerde de fırsat kampanyaları yürütüldü. Tehdit aktörleri, uzaktan yapılandırma için YouTube videosunu kullanmak gibi çeşitli yeni teknikler ve taktikler kullansalar da, Numando'nun başarı oranı, göreceli olarak bilgi eksikliğinden dolayı düşük kalmıştır.
İçindekiler
Saldırı Zinciri
Saldırı, spam e-postaların ve kimlik avı mesajlarının yayılmasıyla başlar. Bozuk e-postalar bir yem mesajı ve bir.ZIP eki içerir. Arşiv meşru bir uygulama, bir enjektör ve Numando'nun yükünü içeriyor. Kurban meşru programı başlattığında, enjektörü yandan yükler ve kötü amaçlı yazılımın yürütülmesine yol açar. Saldırı zincirinin başka bir varyasyonunda, güvenli olmayan yük, bir BMP görüntüsüne enjekte edilir ve ardından çıkarılır. Şüpheli bir şekilde büyük olmasına rağmen, bu BMP görüntüsü tamamen geçerlidir ve çok sayıda görüntü düzenleyicide açılabilir ve sorunsuz bir şekilde görüntülenebilir. Tespit edilen görüntüler genellikle yasal yazılım ürünlerinin ve Avast ve Java gibi şirketlerin logolarını içerir.
Tehdit Eden Yetenekler
Numando'nun ana işlevi, bölgedeki diğer tüm bankacılık Truva Atları ile tutarlıdır - meşru bankacılık ve ödeme uygulamaları üzerinde bindirmeler oluşturarak kurbanın hesap kimlik bilgilerini ve bankacılık bilgilerini toplamaya çalışır. Ayrıca, kötü amaçlı yazılım tehdidi, fare ve klavye girişlerini simüle edebilir, virüslü sistemi yeniden başlatmaya veya kapatmaya zorlayabilir, rastgele ekran görüntüleri alabilir ve tarayıcı işlemlerini sonlandırabilir.
Latin Amerika bölgesindeki diğer bankacılık Truva atlarının çoğunun aksine, Numando aktif bir gelişme içinde görünmüyor. Keşfedilen sürümler ve örnekler, zaman içinde tanıtılan bazı küçük değişiklikler gösteriyor, ancak büyük iyileştirmeler veya eklemeler yapılmadı.
YouTube Videoları ile Uzaktan Yapılandırma
Numando'nun en çarpıcı özelliği, uzaktan yapılandırma için YouTube, Pastebin ve diğerleri gibi genel platformların kullanılmasıdır. YouTube videoları, tehdit tarafından tanınan belirli bir kalıbı takip eden bilgiler içeriyordu. Dize 'DATA:{' ile başlar, ardından kapanış '}' karakterinden önce ':' ile ayrılan üç giriş gelir. Tehdidi izleyen bilgi güvenliği araştırmacıları tarafından bilgilendirildikten sonra Google, zararlı kampanyalara dahil olan videoyu yayından kaldırdı.
