Numando Banking Trojan

一份新报告揭示了另一个来自拉丁美洲的银行木马。该威胁被命名为 Numando，至少自 2018 年以来一直用于攻击活动。 虽然 Numando 的行动主要集中在巴西，但在其他地区，例如墨西哥和西班牙，也进行了偶尔的活动。尽管攻击者采用了几种新颖的技术和策略，例如使用 YouTube 视频进行远程配置，但由于相对缺乏复杂性，Numando 的成功率仍然很低。

攻击链

攻击始于垃圾邮件和网络钓鱼邮件的传播。损坏的电子邮件包含诱饵消息和 .ZIP 附件。该档案包含一个合法的应用程序、一个注入器和 Numando 的有效负载。当受害者启动合法程序时，它会侧载注入器并导致恶意软件的执行。在攻击链的另一个变体中，不安全的有效载荷被注入到 BMP 图像中并随后被提取。尽管大得令人怀疑，但这个 BMP 图像是完全有效的，可以在许多图像编辑器中打开并毫无问题地查看。检测到的图像通常包括合法软件产品和公司（例如 Avast 和 Java）的徽标。

威胁能力

Numando 的主要功能与该地区的所有其他银行木马一致 - 通过在合法银行和支付应用程序上生成覆盖层，它试图收集受害者的帐户凭据和银行信息。此外，恶意软件威胁可以模拟鼠标和键盘输入，强制受感染的系统重新启动或关闭，截取任意屏幕截图并杀死浏览器进程。

与拉丁美洲地区的许多其他银行木马不同，Numando 似乎并未处于积极开发阶段。发现的版本和示例确实显示了随着时间的推移引入的一些小的更改，但没有重大改进或添加。

通过 YouTube 视频进行远程配置

Numando 最显着的特点是使用公共平台（例如 YouTube、Pastebin 等）进行远程配置。 YouTube 视频包含的信息遵循威胁识别的特定模式。该字符串以 'DATA:{' 开头，后跟三个条目，在结束字符 '}' 之前用 ':' 分隔。在收到跟踪威胁的信息安全研究人员的通知后，谷歌已经删除了涉及有害活动的视频。