O cavalo de Troia Numando Banking tem como alvo a América Latina e utiliza serviços populares

Os atores da ameaça latino-americana têm uma longa lista de cavalos de Troia bancários pelas costas. Grandes famílias de malware, como ocavalo de Troia Bizarro Banking, têm incomodado os usuários na América Latina nos últimos anos. No entanto, uma nova família de cavalos de Tróia parece estar em ascensão. A ameaça, apelidada de Trojan Numando Banking, está abusando de serviços públicos legítimos para infectar usuários e controlar seus sistemas. Alguns dos serviços que os criminosos estão usando são YouTube e PasteBin - no entanto, outros serviços públicos também fazem parte de sua campanha.

O cavalo de Tróia Numando Banking parece estar em desenvolvimento há algum tempo. As primeiras cópias do malware datam de 2018, mas ele passou por mudanças significativas desde então. É possível que ele tenha estado ativo no passado, mas as campanhas de ataque foram relativamente pequenas. A campanha atual, porém, é muito mais séria em termos de tamanho. Este malware escrito em Delphi já infectou milhares de usuários em vários países da América Latina. Obviamente, o objetivo final dos criminosos é roubar informações financeiras e credenciais de suas vítimas.

Em termos de recursos, o Trojan Numando Banking não é muito diferente dos outros Trojans ativos na região. Seus operadores têm a capacidade de simular os movimentos do mouse e o pressionamento de teclas. Eles também podem reiniciar ou desligar o sistema infectado remotamente e, é claro, podem mostrar sobreposições falsas. Outros recursos notáveis incluem a capacidade de encerrar processos e capturar instantâneos da tela da vítima.

Como o cavalo de Troia Numando Banking atinge as vítimas?

O spam é o método nº 1 para distribuir essa família de malware em particular. Os criminosos geralmente dependem de campanhas de spam por e-mail, que estimulam o destinatário a baixar um anexo de arquivo. O último geralmente é um arquivo '.ZIP', que contém um instalador MSI dentro. O falso instalador contém vários arquivos que, descompactados, carregam os módulos maliciosos usados para executar o Trojan Numando Banking. Para fazer com que o processo pareça mais legítimo, o instalador falso usará telas de abertura falsas com logotipos populares, como o que o JAVA usa. Isso pode deixar os usuários com a impressão de que o instalador congelou.

Onde os serviços públicos entram em jogo?

Não é incomum que atores de ameaças abusem dos serviços públicos para ajudar em seus ataques. Nesse caso, os autores do cavalo de Troia Numando Banking estão contando principalmente com o YouTube e o PasteBin. Os criminosos usam arquivos e títulos de vídeo especialmente criados ou descrições para armazenar informações de configuração que o Numando Banking Trojan pode decifrar. Por exemplo, o título de um vídeo não listado do YouTube continha uma string criptografada por XOR, que oculta o endereço e a porta do servidor de comando e controle. Uma técnica semelhante é usada para armazenar informações de rede no PasteBin.

Proteger seu sistema Windows de ataques como este requer o uso de um pacote de software de segurança atualizado. Ele será capaz de identificar e interromper os arquivos maliciosos antes que eles tenham a chance de causar qualquer problema.