Numando Banking Trojanはラテンアメリカを標的とし、人気のあるサービスを活用
ラテンアメリカの脅威アクターは、背後にバンキング型トロイの木馬の長いリストを持っています。Bizarro Banking Trojanのような主要なマルウェアファミリーは、過去数年間、ラテンアメリカのユーザーを悩ませてきました。ただし、新しいトロイの木馬ファミリが増加しているようです。 Numando Banking Trojanと呼ばれるこの脅威は、合法的な公共サービスを悪用してユーザーに感染し、システムを制御しています。犯罪者が使用しているサービスにはYouTubeとPasteBinがありますが、他の公共サービスもキャンペーンの一部です。
Numando Banking Trojanは、しばらくの間開発中であったようです。マルウェアの最初のコピーは2018年にさかのぼりますが、それ以降、大幅な変更が加えられています。過去に活動していた可能性もありますが、攻撃キャンペーンは比較的小規模でした。ただし、現在のキャンペーンは、規模の点ではるかに深刻です。このDelphiで作成されたマルウェアは、ラテンアメリカのいくつかの国ですでに数千人のユーザーに感染しています。もちろん、犯罪者の最終的な目標は、被害者から財務情報と資格情報を取得することです。
機能面では、Numando Banking Trojanは、この地域で活動している他のトロイの木馬とそれほど違いはありません。そのオペレーターは、マウスの動きとキーの押下をシミュレートすることができます。また、感染したシステムをリモートで再起動またはシャットダウンすることもできます。もちろん、偽のオーバーレイを表示することもできます。その他の注目すべき機能には、プロセスを終了し、被害者の画面のスナップショットを取得する機能が含まれます。
Numando Banking Trojanはどのようにして被害者に到達しますか?
スパムは、この特定のマルウェアファミリーを配信するための一番の方法です。犯罪者は通常、電子メールスパムキャンペーンに依存しており、受信者に添付ファイルをダウンロードするように促します。後者は通常「.ZIP」ファイルであり、内部にMSIインストーラーが含まれています。偽のインストーラーには、Numando BankingTrojanの実行に使用される悪意のあるモジュールを解凍してロードする複数のアーカイブが含まれています。プロセスをより合法的に見せるために、偽のインストーラーは、JAVAが使用するような人気のあるロゴでブランド化された偽のスプラッシュスクリーンを使用します。これにより、インストーラーがフリーズしたという印象をユーザーに与える可能性があります。
公共サービスはどこで機能しますか?
脅威アクターが攻撃を支援するために公共サービスを悪用することは珍しくありません。この場合、Numando Bankingのトロイの木馬の作成者は、主にYouTubeとPasteBinに依存しています。詐欺師は、特別に細工されたファイルとビデオのタイトルまたは説明を使用して、Numando BankingTrojanが解読できる構成情報を保存します。たとえば、リストにないYouTube動画のタイトルには、XORで暗号化された文字列が含まれており、コマンド&コントロールサーバーのアドレスとポートが非表示になっています。同様の手法を使用して、ネットワーク情報をPasteBinに保存します。
このような攻撃からWindowsシステムを保護するには、最新のセキュリティソフトウェアスイートを使用する必要があります。悪意のあるファイルが問題を引き起こす前に、それらを識別して停止することができます。