Il Trojan bancario Numando prende di mira l'America Latina, sfrutta i servizi più diffusi

trojan horse

Gli attori delle minacce latinoamericane hanno alle spalle una lunga lista di trojan bancari. Le principali famiglie di malware come ilTrojan bancario Bizarro hanno infastidito gli utenti in America Latina negli ultimi anni. Tuttavia, una nuova famiglia Trojan sembra essere in aumento. La minaccia, soprannominata il Trojan bancario Numando, sta abusando dei servizi pubblici legittimi per infettare gli utenti e controllare i loro sistemi. Alcuni dei servizi utilizzati dai criminali sono YouTube e PasteBin, tuttavia anche altri servizi pubblici fanno parte della loro campagna.

Il Trojan bancario Numando sembra essere in fase di sviluppo da un po' di tempo. Le prime copie del malware risalgono al 2018, ma da allora ha subito notevoli cambiamenti. È possibile che sia stato attivo in passato, ma le campagne di attacco sono state relativamente piccole. La campagna in corso, tuttavia, è molto più seria in termini di dimensioni. Questo malware scritto da Delphi ha già infettato migliaia di utenti in diversi paesi dell'America Latina. Naturalmente, l'obiettivo finale dei criminali è quello di sottrarre informazioni finanziarie e credenziali alle loro vittime.

Per quanto riguarda le funzionalità, il Trojan bancario Numando non è molto diverso dagli altri Trojan attivi nella regione. I suoi operatori hanno la capacità di simulare i movimenti del mouse e la pressione dei tasti. Possono anche riavviare o spegnere il sistema infetto da remoto e, naturalmente, possono mostrare falsi overlay. Altre caratteristiche degne di nota includono la possibilità di terminare i processi e acquisire istantanee dello schermo della vittima.

In che modo il Trojan bancario Numando raggiunge le vittime?

Lo spam è il metodo numero 1 per distribuire questa particolare famiglia di malware. I criminali di solito si affidano a campagne di spam via e-mail, che spingono il destinatario a scaricare un file allegato. Quest'ultimo è solitamente un file '.ZIP', che contiene al suo interno un programma di installazione MSI. Il falso programma di installazione contiene più archivi che, decompressi, caricano i moduli dannosi utilizzati per eseguire il Trojan bancario Numando. Per rendere il processo più legittimo, il falso programma di installazione utilizzerà falsi splash screen marchiati con loghi popolari come quello utilizzato da JAVA. Ciò potrebbe lasciare agli utenti l'impressione che il programma di installazione si sia bloccato.

Dove entrano in gioco i servizi pubblici?

Non è raro che gli attori delle minacce abusino dei servizi pubblici per aiutare i loro attacchi. In questo caso, gli autori del Trojan Banking Numando si affidano principalmente a YouTube e PasteBin. I truffatori utilizzano titoli o descrizioni di file e video appositamente predisposti per memorizzare le informazioni di configurazione che Numando Banking Trojan può decifrare. Ad esempio, il titolo di un video di YouTube non in elenco conteneva una stringa crittografata con XOR, che nasconde l'indirizzo e la porta del server di comando e controllo. Una tecnica simile viene utilizzata per memorizzare le informazioni di rete su PasteBin.

La protezione del tuo sistema Windows da attacchi come questo richiede l'uso di una suite di software di sicurezza aggiornata. Sarà in grado di identificare e bloccare i file dannosi prima che abbiano la possibilità di causare problemi.

September 22, 2021