El troyano bancario Numando se dirige a América Latina y aprovecha los servicios populares

Los actores de amenazas latinoamericanos tienen una larga lista de troyanos bancarios a sus espaldas. Las principales familias de malware como eltroyano bancario Bizarro han estado molestando a los usuarios en América Latina durante los últimos años. Sin embargo, parece que va en aumento una nueva familia de troyanos. La amenaza, denominada troyano bancario Numando, está abusando de los servicios públicos legítimos para infectar a los usuarios y controlar sus sistemas. Algunos de los servicios que utilizan los delincuentes son YouTube y PasteBin; sin embargo, otros servicios públicos también forman parte de su campaña.

El troyano bancario Numando parece haber estado en desarrollo durante un tiempo. Las primeras copias del malware datan de 2018, pero ha sufrido cambios significativos desde entonces. Es posible que haya estado activo en el pasado, pero las campañas de ataque fueron relativamente pequeñas. La campaña actual, sin embargo, es mucho más seria en términos de tamaño. Este malware escrito en Delphi ya ha infectado a miles de usuarios en varios países de América Latina. Por supuesto, el objetivo final de los delincuentes es robar información financiera y credenciales de sus víctimas.

En cuanto a características, el troyano bancario Numando no es tan diferente de los otros troyanos activos en la región. Sus operadores tienen la capacidad de simular movimientos del mouse y pulsaciones de teclas. También pueden reiniciar o apagar el sistema infectado de forma remota y, por supuesto, pueden mostrar superposiciones falsas. Otras características notables incluyen la capacidad de finalizar procesos y tomar instantáneas de la pantalla de la víctima.

¿Cómo llega a las víctimas el troyano bancario Numando?

El spam es el método número uno para distribuir esta familia de malware en particular. Los delincuentes suelen confiar en campañas de correo no deseado, que instan al destinatario a descargar un archivo adjunto. Este último suele ser un archivo '.ZIP', que contiene un instalador MSI en su interior. El instalador falso contiene varios archivos que, descomprimidos, cargan los módulos maliciosos utilizados para ejecutar el troyano bancario Numando. Para que el proceso parezca más legítimo, el instalador falso utilizará pantallas de presentación falsas con logotipos populares como el que usa JAVA. Esto puede dejar a los usuarios con la impresión de que el instalador se ha congelado.

¿Dónde entran en juego los servicios públicos?

No es raro que los actores de amenazas abusen de los servicios públicos para ayudar en sus ataques. En este caso, los autores del troyano bancario Numando se basan principalmente en YouTube y PasteBin. Los delincuentes utilizan títulos o descripciones de archivos y videos especialmente diseñados para almacenar información de configuración que el troyano bancario Numando puede descifrar. Por ejemplo, el título de un video de YouTube no listado contenía una cadena encriptada XOR, que oculta la dirección y el puerto del servidor de comando y control. Se utiliza una técnica similar para almacenar información de red en PasteBin.

La protección de su sistema Windows de ataques como este requiere el uso de un paquete de software de seguridad actualizado. Podrá identificar y detener los archivos maliciosos antes de que tengan la oportunidad de causar algún problema.