„Numando Banking Trojan“ taikosi į Lotynų Ameriką, naudoja populiarias paslaugas

trojan horse

Lotynų Amerikos grėsmių veikėjai už nugaros turi ilgą bankinių Trojos arklys sąrašą. Pagrindinės kenkėjiškų programų šeimos, tokios kaip „Bizarro Banking Trojan “, pastaruosius kelerius metus trukdė Lotynų Amerikos vartotojams. Tačiau panašu, kad daugėja naujos Trojos šeimos. Grėsmė, pavadinta „Numando Banking Trojan“, piktnaudžiauja teisėtomis viešosiomis paslaugomis, kad užkrėstų vartotojus ir valdytų jų sistemas. Kai kurios nusikaltėlių naudojamos paslaugos yra „YouTube“ ir „PasteBin“, tačiau kitos viešosios paslaugos taip pat yra jų kampanijos dalis.

Panašu, kad „Numando Banking Trojan“ kurį laiką buvo kuriamas. Pirmosios kenkėjiškos programos kopijos datuojamos 2018 m., Tačiau nuo to laiko ji labai pasikeitė. Gali būti, kad ji galėjo būti aktyvi ir anksčiau, tačiau atakos kampanijos buvo palyginti nedidelės. Tačiau dabartinė kampanija yra daug rimtesnė pagal dydį. Ši „Delphi“ parašyta kenkėjiška programa jau užkrėtė tūkstančius vartotojų keliose Lotynų Amerikos šalyse. Žinoma, pagrindinis nusikaltėlių tikslas yra išgauti iš aukų finansinę informaciją ir įgaliojimus.

Savybėmis „Numando Banking Trojan“ niekuo nesiskiria nuo kitų regione veikiančių Trojos arklys. Jo operatoriai turi galimybę imituoti pelės judesius ir klavišų paspaudimus. Jie taip pat gali nuotoliniu būdu iš naujo paleisti arba išjungti užkrėstą sistemą ir, žinoma, gali parodyti padirbtas perdangas. Kitos svarbios savybės yra galimybė nutraukti procesus ir paimti aukos ekrano momentines nuotraukas.

Kaip „Numando Banking Trojan“ pasiekia aukas?

Šlamštas yra #1 būdas pristatyti šią konkrečią kenkėjiškų programų šeimą. Nusikaltėliai dažniausiai remiasi el. Pašto šlamšto kampanijomis, kurios ragina gavėją atsisiųsti failo priedą. Pastarasis paprastai yra „.ZIP“ failas, kurio viduje yra MSI diegimo programa. Netikrame diegimo programoje yra keli archyvai, kurie, išpakuoti, įkelia kenkėjiškus modulius, naudojamus vykdyti „Numando Banking Trojan“. Kad procesas atrodytų teisėtesnis, netikras diegimo programa naudos netikrus purslų ekranus, pažymėtus populiariais logotipais, tokiais kaip JAVA. Dėl to vartotojams gali susidaryti įspūdis, kad diegimo programa užšaldė.

Kur atsiranda viešosios paslaugos?

Neretai grėsmės veikėjai piktnaudžiauja viešosiomis paslaugomis, kad padėtų savo atakoms. Šiuo atveju „Numando Banking Trojan“ autoriai pirmiausia remiasi „YouTube“ ir „PasteBin“. Sukčiai naudoja specialiai sukurtus failų ir vaizdo įrašų pavadinimus ar aprašymus, kad išsaugotų konfigūracijos informaciją, kurią „Numando Banking Trojan“ gali iššifruoti. Pavyzdžiui, į sąrašą neįtraukto „YouTube“ vaizdo įrašo pavadinime buvo XOR užšifruota eilutė, kuri slepia komandų ir valdymo serverio adresą ir prievadą. Panaši technika naudojama tinklo informacijai saugoti „PasteBin“.

Norint apsaugoti „Windows“ sistemą nuo tokių atakų, reikia naudoti naujausią saugos programinės įrangos paketą. Jis galės atpažinti ir sustabdyti kenkėjiškus failus, kol jie turės galimybę sukelti problemų.

September 22, 2021