Numando Banking Trojan Targets Latin America, Leverages Popular Services

trojan horse

Οι Λατινοαμερικανοί φορείς απειλής έχουν μια μεγάλη λίστα τραπεζικών Τρώων πίσω από την πλάτη τους. Σημαντικές οικογένειες κακόβουλου λογισμικού όπως τοBizarro Banking Trojan ενοχλούν τους χρήστες στη Λατινική Αμερική τα τελευταία χρόνια. Ωστόσο, μια νέα οικογένεια Τρώων φαίνεται να βρίσκεται σε άνοδο. Η απειλή, που ονομάστηκε Numando Banking Trojan, είναι κατάχρηση νόμιμων δημόσιων υπηρεσιών για τη μόλυνση των χρηστών και τον έλεγχο των συστημάτων τους. Μερικές από τις υπηρεσίες που χρησιμοποιούν οι εγκληματίες είναι το YouTube και το PasteBin - ωστόσο, άλλες δημόσιες υπηρεσίες είναι επίσης μέρος της καμπάνιας τους.

Το Troand Numando Banking φαίνεται να βρίσκεται σε εξέλιξη εδώ και λίγο καιρό. Τα πρώτα αντίγραφα του κακόβουλου λογισμικού χρονολογούνται από το 2018, αλλά από τότε έχει υποστεί σημαντικές αλλαγές. Είναι πιθανό να ήταν ενεργό στο παρελθόν, αλλά οι εκστρατείες επίθεσης ήταν σχετικά μικρές. Η τρέχουσα εκστρατεία, ωστόσο, είναι πολύ πιο σοβαρή ως προς το μέγεθος. Αυτό το κακόβουλο λογισμικό που έχει γραφτεί από τους Δελφούς έχει ήδη μολύνει χιλιάδες χρήστες σε αρκετές χώρες της Λατινικής Αμερικής. Φυσικά, ο τελικός στόχος των εγκληματιών είναι να βρουν οικονομικές πληροφορίες και διαπιστευτήρια από τα θύματά τους.

Από άποψη χαρακτηριστικών, το Numando Banking Trojan δεν είναι τόσο διαφορετικό από τα άλλα Trojans που δραστηριοποιούνται στην περιοχή. Οι χειριστές του έχουν τη δυνατότητα να προσομοιώνουν τις κινήσεις του ποντικιού και το πάτημα πλήκτρων. Μπορούν επίσης να επανεκκινήσουν ή να κλείσουν το μολυσμένο σύστημα από απόσταση και, φυσικά, μπορούν να εμφανίσουν ψεύτικες επικαλύψεις. Άλλα αξιοσημείωτα χαρακτηριστικά περιλαμβάνουν τη δυνατότητα τερματισμού διαδικασιών και λήψης στιγμιότυπων της οθόνης του θύματος.

Πώς προσεγγίζει τα θύματα ο Numando Banking Trojan;

Η ανεπιθύμητη αλληλογραφία είναι η #1 μέθοδος για την παράδοση της συγκεκριμένης οικογένειας κακόβουλου λογισμικού. Οι εγκληματίες βασίζονται συνήθως σε καμπάνιες ανεπιθύμητου μηνύματος ηλεκτρονικού ταχυδρομείου, οι οποίες παροτρύνουν τον παραλήπτη να κατεβάσει ένα συνημμένο αρχείο. Το τελευταίο είναι συνήθως ένα αρχείο .ZIP, το οποίο περιέχει ένα πρόγραμμα εγκατάστασης MSI στο εσωτερικό του. Το ψεύτικο πρόγραμμα εγκατάστασης περιέχει πολλαπλά αρχεία που, χωρίς συσκευασία, φορτώνουν τις κακόβουλες μονάδες που χρησιμοποιούνται για την εκτέλεση του Trojan Numando Banking. Για να κάνει τη διαδικασία να φαίνεται πιο νόμιμη, ο ψεύτικος εγκαταστάτης θα χρησιμοποιεί ψεύτικες οθόνες με επώνυμα σήματα με δημοφιλή λογότυπα, όπως αυτό που χρησιμοποιεί η JAVA. Αυτό μπορεί να αφήσει τους χρήστες υπό την εντύπωση ότι το πρόγραμμα εγκατάστασης έχει παγώσει.

Πού μπαίνουν στο παιχνίδι οι δημόσιες υπηρεσίες;

Δεν είναι σπάνιο φαινόμενο οι φορείς απειλής να κάνουν κατάχρηση δημόσιων υπηρεσιών προκειμένου να βοηθήσουν τις επιθέσεις τους. Σε αυτήν την περίπτωση, οι συντάκτες του Numando Banking Trojan βασίζονται κυρίως στο YouTube και το PasteBin. Οι απατεώνες χρησιμοποιούν ειδικά δημιουργημένους τίτλους αρχείων και βίντεο ή περιγραφές για να αποθηκεύσουν πληροφορίες διαμόρφωσης που μπορεί να αποκρυπτογραφήσει το Numando Banking Trojan. Για παράδειγμα, ένας μη καταχωρισμένος τίτλος βίντεο YouTube περιείχε μια συμβολοσειρά κρυπτογραφημένη με XOR, η οποία αποκρύπτει τη διεύθυνση και τη θύρα του διακομιστή εντολών και ελέγχου. Μια παρόμοια τεχνική χρησιμοποιείται για την αποθήκευση πληροφοριών δικτύου στο PasteBin.

Η προστασία του συστήματος των Windows από επιθέσεις όπως αυτή απαιτεί τη χρήση μιας ενημερωμένης σουίτας λογισμικού ασφαλείας. Θα είναι σε θέση να εντοπίσει και να σταματήσει τα κακόβουλα αρχεία πριν να έχουν την ευκαιρία να προκαλέσουν οποιοδήποτε πρόβλημα.

September 22, 2021