Trojan bankowy Numando atakuje Amerykę Łacińską, wykorzystuje popularne usługi

Podmioty zajmujące się zagrożeniami z Ameryki Łacińskiej mają za plecami długą listę trojanów bankowych. Główne rodziny szkodliwego oprogramowania, takie jaktrojan bankowy Bizarro, od kilku lat przeszkadzają użytkownikom w Ameryce Łacińskiej. Jednak wydaje się, że rośnie liczba nowej rodziny trojanów. Zagrożenie, nazwane trojanem bankowym Numando, wykorzystuje legalne usługi publiczne do infekowania użytkowników i kontrolowania ich systemów. Niektóre z usług, z których korzystają przestępcy, to YouTube i PasteBin – jednak inne usługi publiczne również są częścią ich kampanii.

Wygląda na to, że trojan bankowy Numando był w fazie rozwoju od jakiegoś czasu. Pierwsze kopie szkodliwego oprogramowania pochodzą z 2018 roku, ale od tego czasu przeszedł on znaczące zmiany. Możliwe, że działał w przeszłości, ale kampanie ataków były stosunkowo niewielkie. Obecna kampania jest jednak znacznie poważniejsza pod względem rozmiaru. Ten napisany w Delphi złośliwy program zainfekował już tysiące użytkowników w kilku krajach Ameryki Łacińskiej. Oczywiście ostatecznym celem przestępców jest wyłudzenie od swoich ofiar informacji finansowych i danych uwierzytelniających.

Pod względem funkcji trojan bankowy Numando nie różni się zbytnio od innych trojanów aktywnych w regionie. Jego operatorzy mają możliwość symulowania ruchów myszy i naciśnięć klawiszy. Mogą również zdalnie ponownie uruchomić lub zamknąć zainfekowany system i oczywiście mogą pokazywać fałszywe nakładki. Inne godne uwagi funkcje obejmują możliwość kończenia procesów i robienia zrzutów ekranu ofiary.

Jak trojan bankowy Numando dociera do ofiar?

Spam to najważniejsza metoda dostarczania tej konkretnej rodziny złośliwego oprogramowania. Przestępcy zwykle polegają na kampaniach spamowych e-mail, które zachęcają odbiorcę do pobrania załącznika. Ten ostatni to zwykle plik „.ZIP”, który zawiera instalator MSI. Fałszywy instalator zawiera wiele archiwów, które po rozpakowaniu ładują złośliwe moduły wykorzystywane do uruchamiania trojana bankowego Numando. Aby proces wydawał się bardziej uzasadniony, fałszywy instalator użyje fałszywych ekranów powitalnych oznaczonych popularnymi logo, takimi jak ten, którego używa JAVA. Może to sprawić, że użytkownicy będą mieli wrażenie, że instalator zawiesił się.

Gdzie w grę wchodzą usługi publiczne?

Często zdarza się, że cyberprzestępcy nadużywają usług publicznych, aby wspomóc swoje ataki. W tym przypadku autorzy trojanów bankowych Numando polegają głównie na YouTube i PasteBin. Oszuści używają specjalnie spreparowanych tytułów lub opisów plików i filmów do przechowywania informacji konfiguracyjnych, które może rozszyfrować trojan bankowy Numando. Na przykład tytuł niepublicznego filmu w YouTube zawierał zaszyfrowany ciąg znaków XOR, który ukrywa adres i port serwera Command & Control. Podobna technika jest używana do przechowywania informacji o sieci w PasteBin.

Ochrona systemu Windows przed takimi atakami wymaga użycia aktualnego pakietu oprogramowania zabezpieczającego. Będzie w stanie zidentyfikować i zatrzymać złośliwe pliki, zanim będą miały szansę spowodować jakiekolwiek problemy.