Банковский троян Numando нацелен на Латинскую Америку и использует популярные сервисы

trojan horse

У латиноамериканских злоумышленников за спиной есть длинный список банковских троянцев. Основные семейства вредоносных программ, такие кактроян Bizarro Banking , беспокоят пользователей в Латинской Америке в течение последних нескольких лет. Однако, похоже, растет новое семейство троянцев. Угроза, получившая название банковского трояна Numando, заключается в злоупотреблении законными общедоступными службами для заражения пользователей и контроля их систем. Некоторые из сервисов, которые используют преступники, - это YouTube и PasteBin, однако другие публичные сервисы также являются частью их кампании.

Банковский троян Numando, похоже, некоторое время находился в разработке. Первые копии вредоносной программы датируются 2018 годом, но с тех пор она претерпела значительные изменения. Вполне возможно, что он мог быть активен в прошлом, но кампании атаки были относительно небольшими. Однако нынешняя кампания намного серьезнее по размеру. Эта вредоносная программа, написанная на Delphi, уже заразила тысячи пользователей в нескольких странах Латинской Америки. Конечно, конечная цель преступников - похитить финансовую информацию и учетные данные своих жертв.

По характеристикам троян Numando Banking не сильно отличается от других троянцев, действующих в регионе. Его операторы могут имитировать движения мыши и нажатия клавиш. Они также могут удаленно перезапускать или выключать зараженную систему и, конечно же, могут показывать поддельные оверлеи. Другие примечательные функции включают возможность завершать процессы и делать снимки экрана жертвы.

Каким образом банковский троян Numando достигает жертв?

Спам - это метод №1 для доставки именно этого семейства вредоносных программ. Преступники обычно полагаются на рассылку спама по электронной почте, побуждающую получателя загрузить вложение файла. Последний обычно представляет собой файл .ZIP, внутри которого находится установщик MSI. Поддельный установщик содержит несколько архивов, которые после распаковки загружают вредоносные модули, используемые для запуска трояна Numando Banking. Чтобы процесс выглядел более законным, поддельный установщик будет использовать поддельные заставки с популярными логотипами, такими как тот, который использует JAVA. Это может оставить у пользователей впечатление, что программа установки зависла.

Где в игру вступают государственные услуги?

Злоумышленники нередко злоупотребляют общественными услугами для поддержки своих атак. В данном случае авторы банковского троянца Numando полагаются в первую очередь на YouTube и PasteBin. Мошенники используют специально созданные файлы и названия или описания видео для хранения информации о конфигурации, которую Numando Banking Trojan может расшифровать. Например, заголовок не включенного в список видео YouTube содержал зашифрованную XOR строку, которая скрывает адрес и порт сервера управления и контроля. Аналогичный метод используется для хранения сетевой информации на PasteBin.

Для защиты вашей системы Windows от атак, подобных этой, требуется использование новейшего программного обеспечения для обеспечения безопасности. Он сможет идентифицировать и останавливать вредоносные файлы до того, как они вызовут какие-либо проблемы.

September 22, 2021