Der Banking-Trojaner Numando zielt auf Lateinamerika und nutzt beliebte Dienste
Lateinamerikanische Bedrohungsakteure haben eine lange Liste von Banking-Trojanern hinter ihrem Rücken. Große Malware-Familien wie derBanking-Trojaner Bizarro beunruhigen seit einigen Jahren Nutzer in Lateinamerika. Es scheint jedoch eine neue Trojaner-Familie auf dem Vormarsch zu sein. Die Bedrohung, die als Numando Banking Trojan bezeichnet wird, missbraucht legitime öffentliche Dienste, um Benutzer zu infizieren und ihre Systeme zu kontrollieren. Einige der Dienste, die die Kriminellen nutzen, sind YouTube und PasteBin – aber auch andere öffentliche Dienste sind Teil ihrer Kampagne.
Der Banking-Trojaner Numando scheint schon seit einiger Zeit in Entwicklung zu sein. Die ersten Kopien der Malware stammen aus dem Jahr 2018, haben sich seitdem jedoch erheblich verändert. Es ist möglich, dass es in der Vergangenheit aktiv war, aber die Angriffskampagnen waren relativ klein. Die aktuelle Kampagne ist jedoch vom Umfang her viel ernster. Diese von Delphi geschriebene Malware hat bereits Tausende von Benutzern in mehreren lateinamerikanischen Ländern infiziert. Das ultimative Ziel der Kriminellen besteht natürlich darin, ihren Opfern finanzielle Informationen und Anmeldeinformationen zu entziehen.
In Bezug auf die Funktionen unterscheidet sich der Banking-Trojaner Numando nicht so sehr von den anderen in der Region aktiven Trojanern. Seine Operatoren haben die Möglichkeit, Mausbewegungen und Tastendrücke zu simulieren. Sie können das infizierte System auch aus der Ferne neu starten oder herunterfahren und natürlich können sie gefälschte Overlays anzeigen. Weitere bemerkenswerte Funktionen sind die Möglichkeit, Prozesse zu beenden und Schnappschüsse vom Bildschirm des Opfers zu erstellen.
Wie erreicht der Banking-Trojaner Numando die Opfer?
Spam ist die Methode Nr. 1, um diese spezielle Malware-Familie zu verbreiten. Üblicherweise setzen die Kriminellen auf E-Mail-Spam-Kampagnen, die den Empfänger dazu drängen, einen Dateianhang herunterzuladen. Letzteres ist normalerweise eine '.ZIP'-Datei, die ein MSI-Installationsprogramm enthält. Das gefälschte Installationsprogramm enthält mehrere Archive, die ausgepackt die bösartigen Module laden, die zur Ausführung des Numando Banking-Trojaners verwendet wurden. Um den Prozess legitimer erscheinen zu lassen, verwendet das gefälschte Installationsprogramm gefälschte Begrüßungsbildschirme, die mit beliebten Logos wie dem von JAVA gekennzeichnet sind. Dies kann bei Benutzern den Eindruck erwecken, dass das Installationsprogramm eingefroren ist.
Wo kommen öffentliche Dienste ins Spiel?
Es ist nicht ungewöhnlich, dass Bedrohungsakteure öffentliche Dienste missbrauchen, um ihre Angriffe zu unterstützen. In diesem Fall verlassen sich die Autoren des Numando Banking-Trojaners hauptsächlich auf YouTube und PasteBin. Die Gauner verwenden speziell gestaltete Datei- und Videotitel oder Beschreibungen, um Konfigurationsinformationen zu speichern, die der Numando Banking Trojan entschlüsseln kann. Der Titel eines nicht gelisteten YouTube-Videos enthielt beispielsweise eine XOR-verschlüsselte Zeichenfolge, die die Adresse und den Port des Command & Control-Servers verbirgt. Eine ähnliche Technik wird verwendet, um Netzwerkinformationen auf PasteBin zu speichern.
Um Ihr Windows-System vor Angriffen wie diesem zu schützen, ist die Verwendung einer aktuellen Sicherheitssoftware-Suite erforderlich. Es wird in der Lage sein, die schädlichen Dateien zu identifizieren und zu stoppen, bevor sie die Möglichkeit haben, Probleme zu verursachen.
