Numando Banking Trojan målretter Latin -Amerika, utnytter populære tjenester

Latinamerikanske trusselaktører har en lang liste med bank -trojanere bak ryggen. Store malware -familier somBizarro Banking Trojan har plaget brukere i Latin -Amerika de siste årene. Imidlertid ser det ut til at en ny trojansk familie er på vei oppover. Trusselen, kalt Numando Banking Trojan, misbruker legitime offentlige tjenester for å infisere brukere og kontrollere systemene deres. Noen av tjenestene de kriminelle bruker er YouTube og PasteBin - men andre offentlige tjenester er også en del av kampanjen deres.

Det ser ut til at Numando Banking Trojan har vært under utvikling en stund. De første kopiene av skadelig programvare dateres tilbake til 2018, men den har gjennomgått betydelige endringer siden den gang. Det er mulig at det kan ha vært aktivt tidligere, men angrepskampanjene var relativt små. Den nåværende kampanjen er imidlertid mye mer seriøs når det gjelder størrelse. Denne Delphi-skrevne malware har allerede infisert tusenvis av brukere i flere latinamerikanske land. Selvfølgelig er det endelige målet for kriminelle å sløve økonomisk informasjon og legitimasjon fra ofrene.

Funksjonsmessig er ikke Numando Banking Trojan så forskjellig fra de andre trojanerne som er aktive i regionen. Operatørene har muligheten til å simulere musebevegelser og tastetrykk. De kan også starte eller stenge det infiserte systemet eksternt, og selvfølgelig kan de vise falske overlegg. Andre bemerkelsesverdige funksjoner inkluderer muligheten til å avslutte prosesser og ta øyeblikksbilder av offerets skjerm.

Hvordan når Numando Banking Trojan ofre?

Søppelpost er #1 -metoden for å levere denne spesielle malware -familien. Kriminelle er vanligvis avhengige av spam -kampanjer via e -post, som oppfordrer mottakeren til å laste ned et filvedlegg. Sistnevnte er vanligvis en .ZIP -fil, som inneholder et MSI -installasjonsprogram inni. Den falske installasjonsprogrammet inneholder flere arkiver som, utpakket, laster inn de ondsinnede modulene som brukes til å utføre Numando Banking Trojan. For å få prosessen til å virke mer legitim, vil den falske installatøren bruke falske sprutskjermmerker merket med populære logoer som den som JAVA bruker. Dette kan gi brukerne inntrykk av at installasjonsprogrammet har frosset.

Hvor spiller offentlige tjenester inn?

Det er ikke uvanlig at trusselaktører misbruker offentlige tjenester for å hjelpe angrepene. I dette tilfellet er Numando Banking Trojan -forfatterne først og fremst avhengige av YouTube og PasteBin. Skurkene bruker spesialkonstruerte fil- og videotitler eller beskrivelser for å lagre konfigurasjonsinformasjon som Numando Banking Trojan kan tyde. For eksempel inneholdt en ikke-oppført YouTube-videotittel en XOR-kryptert streng, som skjuler kommandoen og kontrollserverens adresse og port. En lignende teknikk brukes til å lagre nettverksinformasjon på PasteBin.

Beskyttelse av Windows-systemet mot angrep som dette krever bruk av en oppdatert sikkerhetsprogramvarepakke. Den vil kunne identifisere og stoppe de ondsinnede filene før de får sjansen til å forårsake problemer.