Numando Banking Trojan

Numando Banking Trojan说明

一份新报告揭示了另一个来自拉丁美洲的银行木马。该威胁被命名为 Numando,至少自 2018 年以来一直用于攻击活动。 虽然 Numando 的行动主要集中在巴西,但在其他地区,例如墨西哥和西班牙,也进行了偶尔的活动。尽管攻击者采用了几种新颖的技术和策略,例如使用 YouTube 视频进行远程配置,但由于相对缺乏复杂性,Numando 的成功率仍然很低。

攻击链

攻击始于垃圾邮件和网络钓鱼邮件的传播。损坏的电子邮件包含诱饵消息和 .ZIP 附件。该档案包含一个合法的应用程序、一个注入器和 Numando 的有效负载。当受害者启动合法程序时,它会侧载注入器并导致恶意软件的执行。在攻击链的另一个变体中,不安全的有效载荷被注入到 BMP 图像中并随后被提取。尽管大得令人怀疑,但这个 BMP 图像是完全有效的,可以在许多图像编辑器中打开并毫无问题地查看。检测到的图像通常包括合法软件产品和公司(例如 Avast 和 Java)的徽标。

威胁能力

Numando 的主要功能与该地区的所有其他银行木马一致 - 通过在合法银行和支付应用程序上生成覆盖层,它试图收集受害者的帐户凭据和银行信息。此外,恶意软件威胁可以模拟鼠标和键盘输入,强制受感染的系统重新启动或关闭,截取任意屏幕截图并杀死浏览器进程。

与拉丁美洲地区的许多其他银行木马不同,Numando 似乎并未处于积极开发阶段。发现的版本和示例确实显示了随着时间的推移引入的一些小的更改,但没有重大改进或添加。

通过 YouTube 视频进行远程配置

Numando 最显着的特点是使用公共平台(例如 YouTube、Pastebin 等)进行远程配置。 YouTube 视频包含的信息遵循威胁识别的特定模式。该字符串以 'DATA:{' 开头,后跟三个条目,在结束字符 '}' 之前用 ':' 分隔。在收到跟踪威胁的信息安全研究人员的通知后,谷歌已经删除了涉及有害活动的视频。