Numando Banking Trojan richt zich op Latijns-Amerika, maakt gebruik van populaire services

trojan horse

Latijns-Amerikaanse dreigingsactoren hebben een lange lijst van banktrojans achter hun rug. Grote malwarefamilies zoals deBizarro Banking Trojan hebben de afgelopen jaren gebruikers in Latijns-Amerika lastiggevallen. Er lijkt echter een nieuwe Trojaanse familie in opkomst te zijn. De dreiging, genaamd de Numando Banking Trojan, maakt misbruik van legitieme openbare diensten om gebruikers te infecteren en hun systemen te controleren. Sommige van de diensten die de criminelen gebruiken, zijn YouTube en PasteBin, maar andere openbare diensten maken ook deel uit van hun campagne.

De Numando Banking Trojan lijkt al een tijdje in ontwikkeling te zijn. De eerste exemplaren van de malware dateren uit 2018, maar sindsdien zijn er belangrijke veranderingen doorgevoerd. Het is mogelijk dat het in het verleden actief was, maar de aanvalscampagnes waren relatief klein. De huidige campagne is echter veel serieuzer qua omvang. Deze door Delphi geschreven malware heeft al duizenden gebruikers in verschillende Latijns-Amerikaanse landen besmet. Natuurlijk is het uiteindelijke doel van de criminelen om financiële informatie en referenties van hun slachtoffers te achterhalen.

Wat de kenmerken betreft, verschilt de Numando Banking Trojan niet zo veel van de andere Trojaanse paarden die actief zijn in de regio. De operators hebben de mogelijkheid om muisbewegingen en toetsaanslagen te simuleren. Ze kunnen het geïnfecteerde systeem ook op afstand herstarten of afsluiten en natuurlijk kunnen ze nep-overlays tonen. Andere opvallende kenmerken zijn de mogelijkheid om processen te beëindigen en snapshots van het scherm van het slachtoffer te maken.

Hoe bereikt de Numando Banking Trojan slachtoffers?

Spam is de #1 methode om deze specifieke malwarefamilie te leveren. De criminelen vertrouwen meestal op e-mailspamcampagnes, die de ontvanger aansporen om een bestandsbijlage te downloaden. Dit laatste is meestal een '.ZIP'-bestand, dat een MSI-installatieprogramma bevat. Het nep-installatieprogramma bevat meerdere archieven die, uitgepakt, de kwaadaardige modules laden die worden gebruikt om de Numando Banking Trojan uit te voeren. Om het proces legitiemer te laten lijken, gebruikt het nep-installatieprogramma valse welkomstschermen met populaire logo's zoals het logo dat JAVA gebruikt. Hierdoor kunnen gebruikers de indruk krijgen dat het installatieprogramma is vastgelopen.

Waar komen openbare diensten in het spel?

Het is niet ongebruikelijk dat dreigingsactoren misbruik maken van openbare diensten om hun aanvallen te ondersteunen. In dit geval vertrouwen de Numando Banking Trojan-auteurs voornamelijk op YouTube en PasteBin. De boeven gebruiken speciaal vervaardigde bestands- en videotitels of beschrijvingen om configuratie-informatie op te slaan die de Numando Banking Trojan kan ontcijferen. De titel van een niet-vermelde YouTube-video bevatte bijvoorbeeld een XOR-gecodeerde tekenreeks, die het adres en de poort van de command & control-server verbergt. Een vergelijkbare techniek wordt gebruikt om netwerkinformatie op PasteBin op te slaan.

Om uw Windows-systeem tegen dergelijke aanvallen te beschermen, is het gebruik van een up-to-date beveiligingssoftwarepakket vereist. Het zal de kwaadaardige bestanden kunnen identificeren en stoppen voordat ze de kans krijgen om problemen te veroorzaken.

September 22, 2021