Numando Banking Trojan

Numando Banking Trojan說明

一份新報告揭示了另一個來自拉丁美洲的銀行木馬。該威脅被命名為 Numando,至少自 2018 年以來一直用於攻擊活動。 雖然 Numando 的行動主要集中在巴西,但在其他地區,例如墨西哥和西班牙,也進行了偶爾的活動。儘管攻擊者採用了幾種新穎的技術和策略,例如使用 YouTube 視頻進行遠程配置,但由於相對缺乏複雜性,Numando 的成功率仍然很低。

攻擊鏈

攻擊始於垃圾郵件和網絡釣魚郵件的傳播。損壞的電子郵件包含誘餌消息和 .ZIP 附件。該檔案包含一個合法的應用程序、一個注入器和 Numando 的有效負載。當受害者啟動合法程序時,它會側載注入器並導致惡意軟件的執行。在攻擊鏈的另一個變體中,不安全的有效載荷被注入到 BMP 圖像中並隨後被提取。儘管大得令人懷疑,但這個 BMP 圖像是完全有效的,可以在許多圖像編輯器中打開並毫無問題地查看。檢測到的圖像通常包括合法軟件產品和公司(例如 Avast 和 Java)的徽標。

威脅能力

Numando 的主要功能與該地區的所有其他銀行木馬一致 - 通過在合法銀行和支付應用程序上生成覆蓋層,它試圖收集受害者的帳戶憑據和銀行信息。此外,惡意軟件威脅可以模擬鼠標和鍵盤輸入,強制受感染的系統重新啟動或關閉,截取任意屏幕截圖並殺死瀏覽器進程。

與拉丁美洲地區的許多其他銀行木馬不同,Numando 似乎並未處於積極開發階段。發現的版本和示例確實顯示了隨著時間的推移引入的一些小的更改,但沒有重大改進或添加。

通過 YouTube 視頻進行遠程配置

Numando 最顯著的特點是使用公共平台(例如 YouTube、Pastebin 等)進行遠程配置。 YouTube 視頻包含的信息遵循威脅識別的特定模式。該字符串以 'DATA:{' 開頭,後跟三個條目,在結束字符 '}' 之前用 ':' 分隔。在收到跟踪威脅的信息安全研究人員的通知後,谷歌已經刪除了涉及有害活動的視頻。