Le cheval de Troie bancaire Numando cible l'Amérique latine et exploite les services populaires

trojan horse

Les acteurs latino-américains de la menace ont une longue liste de chevaux de Troie bancaires dans leur dos. Les principales familles de logiciels malveillants comme lecheval de Troie bancaire Bizarro dérangent les utilisateurs en Amérique latine depuis quelques années. Cependant, une nouvelle famille de chevaux de Troie semble être à la hausse. La menace, surnommée le cheval de Troie bancaire Numando, abuse des services publics légitimes pour infecter les utilisateurs et contrôler leurs systèmes. Certains des services que les criminels utilisent sont YouTube et PasteBin - cependant, d'autres services publics font également partie de leur campagne.

Le cheval de Troie bancaire Numando semble être en développement depuis un certain temps. Les premières copies du malware remontent à 2018, mais il a subi des changements importants depuis lors. Il est possible qu'il ait été actif dans le passé, mais les campagnes d'attaque étaient relativement petites. La campagne actuelle est cependant beaucoup plus sérieuse en termes de taille. Ce malware écrit en Delphi a déjà infecté des milliers d'utilisateurs dans plusieurs pays d'Amérique latine. Bien sûr, le but ultime des criminels est de soutirer des informations financières et des informations d'identification à leurs victimes.

Du point de vue des fonctionnalités, le cheval de Troie bancaire Numando n'est pas si différent des autres chevaux de Troie actifs dans la région. Ses opérateurs ont la possibilité de simuler les mouvements de la souris et les pressions sur les touches. Ils peuvent également redémarrer ou arrêter le système infecté à distance et, bien sûr, ils peuvent afficher de fausses superpositions. D'autres fonctionnalités notables incluent la possibilité de mettre fin aux processus et de récupérer des instantanés de l'écran de la victime.

Comment le cheval de Troie bancaire Numando atteint-il les victimes ?

Le spam est la méthode n°1 pour diffuser cette famille de logiciels malveillants. Les criminels s'appuient généralement sur des campagnes de spam par courrier électronique, qui incitent le destinataire à télécharger une pièce jointe. Ce dernier est généralement un fichier '.ZIP', qui contient un programme d'installation MSI à l'intérieur. Le faux programme d'installation contient plusieurs archives qui, décompressées, chargent les modules malveillants utilisés pour exécuter le cheval de Troie Numando Banking. Pour rendre le processus plus légitime, le faux programme d'installation utilisera de faux écrans de démarrage portant des logos populaires tels que celui utilisé par JAVA. Cela peut donner aux utilisateurs l'impression que le programme d'installation a gelé.

Où les services publics entrent-ils en jeu ?

Il n'est pas rare que des acteurs malveillants abusent des services publics pour faciliter leurs attaques. Dans ce cas, les auteurs du cheval de Troie bancaire Numando s'appuient principalement sur YouTube et PasteBin. Les escrocs utilisent des titres ou des descriptions de fichiers et de vidéos spécialement conçus pour stocker des informations de configuration que Numando Banking Trojan peut déchiffrer. Par exemple, le titre d'une vidéo YouTube non répertoriée contenait une chaîne cryptée XOR, qui masque l'adresse et le port du serveur de commande et de contrôle. Une technique similaire est utilisée pour stocker les informations réseau sur PasteBin.

La protection de votre système Windows contre des attaques comme celle-ci nécessite l'utilisation d'une suite logicielle de sécurité à jour. Il sera capable d'identifier et d'arrêter les fichiers malveillants avant qu'ils n'aient la chance de causer des problèmes.

September 22, 2021