Numando Banking Trojan målretter Latinamerika, udnytter populære tjenester

trojan horse

Latinamerikanske trusselsaktører har en lang række bank -trojanere bag ryggen. Store malware -familier somBizarro Banking Trojan har generet brugere i Latinamerika i de sidste par år. En ny trojansk familie ser imidlertid ud til at være stigende. Truslen, kaldet Numando Banking Trojan, misbruger legitime offentlige tjenester til at inficere brugere og kontrollere deres systemer. Nogle af de tjenester, de kriminelle bruger, er YouTube og PasteBin - andre offentlige tjenester er dog også en del af deres kampagne.

Numando Banking Trojan ser ud til at have været under udvikling i et stykke tid. De første kopier af malware dateres tilbage til 2018, men den har siden været under betydelige ændringer. Det er muligt, at det måske tidligere har været aktivt, men angrebskampagnerne var relativt små. Den nuværende kampagne er imidlertid meget mere seriøs med hensyn til størrelse. Denne Delphi-skrevne malware har allerede inficeret tusinder af brugere i flere latinamerikanske lande. Selvfølgelig er de kriminelles ultimative mål at sluge finansielle oplysninger og legitimationsoplysninger fra deres ofre.

Funktionsmæssigt er Numando Banking Trojan ikke så forskellig fra de andre trojanere, der er aktive i regionen. Dens operatører har evnen til at simulere musebevægelser og tastetryk. De kan også genstarte eller lukke det inficerede system eksternt, og de kan naturligvis vise falske overlejringer. Andre bemærkelsesværdige funktioner omfatter evnen til at afslutte processer og tage snapshots af offerets skærm.

Hvordan når Numando Banking Trojan ofre?

Spam er #1 -metoden til at levere denne særlige malware -familie. Kriminelle er normalt afhængige af spam -kampagner via e -mail, som opfordrer modtageren til at downloade en vedhæftet fil. Sidstnævnte er normalt en '.ZIP' -fil, der indeholder et MSI -installationsprogram indeni. Det falske installationsprogram indeholder flere arkiver, der udpakket indlæser de ondsindede moduler, der bruges til at udføre Numando Banking Trojan. For at få processen til at virke mere legitim, vil den falske installatør bruge falske stænkskærme mærket med populære logoer som den, som JAVA bruger. Dette kan efterlade brugerne under indtryk af, at installationsprogrammet er frosset.

Hvor spiller offentlige tjenester ind?

Det er ikke ualmindeligt, at trusselsaktører misbruger offentlige tjenester for at hjælpe deres angreb. I dette tilfælde stoler Numando Banking Trojan -forfatterne primært på YouTube og PasteBin. Skurkene bruger specialfremstillede fil- og videotitler eller beskrivelser til at gemme konfigurationsoplysninger, som Numando Banking Trojan kan tyde. For eksempel indeholdt en unlistet YouTube-videotitel en XOR-krypteret streng, som skjuler kommando- og kontrolserverens adresse og port. En lignende teknik bruges til at gemme netværksinformation på PasteBin.

Beskyttelse af dit Windows-system mod angreb som dette kræver brug af en opdateret sikkerhedssoftwarepakke. Det vil være i stand til at identificere og stoppe de ondsindede filer, før de får en chance for at forårsage problemer.

September 22, 2021