Numando Banking Trojan

一份新報告揭示了另一個來自拉丁美洲的銀行木馬。該威脅被命名為 Numando，至少自 2018 年以來一直用於攻擊活動。 雖然 Numando 的行動主要集中在巴西，但在其他地區，例如墨西哥和西班牙，也進行了偶爾的活動。儘管攻擊者採用了幾種新穎的技術和策略，例如使用 YouTube 視頻進行遠程配置，但由於相對缺乏複雜性，Numando 的成功率仍然很低。

攻擊鏈

攻擊始於垃圾郵件和網絡釣魚郵件的傳播。損壞的電子郵件包含誘餌消息和 .ZIP 附件。該檔案包含一個合法的應用程序、一個注入器和 Numando 的有效負載。當受害者啟動合法程序時，它會側載注入器並導致惡意軟件的執行。在攻擊鏈的另一個變體中，不安全的有效載荷被注入到 BMP 圖像中並隨後被提取。儘管大得令人懷疑，但這個 BMP 圖像是完全有效的，可以在許多圖像編輯器中打開並毫無問題地查看。檢測到的圖像通常包括合法軟件產品和公司（例如 Avast 和 Java）的徽標。

威脅能力

Numando 的主要功能與該地區的所有其他銀行木馬一致 - 通過在合法銀行和支付應用程序上生成覆蓋層，它試圖收集受害者的帳戶憑據和銀行信息。此外，惡意軟件威脅可以模擬鼠標和鍵盤輸入，強制受感染的系統重新啟動或關閉，截取任意屏幕截圖並殺死瀏覽器進程。

與拉丁美洲地區的許多其他銀行木馬不同，Numando 似乎並未處於積極開發階段。發現的版本和示例確實顯示了隨著時間的推移引入的一些小的更改，但沒有重大改進或添加。

通過 YouTube 視頻進行遠程配置

Numando 最顯著的特點是使用公共平台（例如 YouTube、Pastebin 等）進行遠程配置。 YouTube 視頻包含的信息遵循威脅識別的特定模式。該字符串以 'DATA:{' 開頭，後跟三個條目，在結束字符 '}' 之前用 ':' 分隔。在收到跟踪威脅的信息安全研究人員的通知後，谷歌已經刪除了涉及有害活動的視頻。