Numando Banking Trojan mål Latinamerika, utnyttjar populära tjänster

trojan horse

Latinamerikanska hotaktörer har en lång lista med banktrojaner bakom ryggen. Stora malware -familjer somBizarro Banking Trojan har stört användare i Latinamerika de senaste åren. En ny trojansk familj verkar dock öka. Hotet, kallat Numando Banking Trojan, missbrukar legitima offentliga tjänster för att infektera användare och kontrollera deras system. Några av de tjänster som de kriminella använder är YouTube och PasteBin - men andra offentliga tjänster är också en del av deras kampanj.

Numando Banking Trojan verkar ha varit under utveckling ett tag. De första kopiorna av skadlig programvara går tillbaka till 2018, men det har genomgått betydande förändringar sedan dess. Det är möjligt att det kan ha varit aktivt tidigare, men attackkampanjerna var relativt små. Den nuvarande kampanjen är dock mycket allvarligare när det gäller storlek. Denna Delphi-skrivna skadliga program har redan infekterat tusentals användare i flera latinamerikanska länder. Naturligtvis är det slutliga målet för de kriminella att tömma på ekonomisk information och meriter från sina offer.

Funktionsmässigt skiljer Numando Banking Trojan sig inte så mycket från de andra trojaner som är aktiva i regionen. Operatörerna har möjligheten att simulera musrörelser och knapptryckningar. De kan också starta om eller stänga av det infekterade systemet på distans och naturligtvis kan de visa falska överlägg. Andra anmärkningsvärda funktioner inkluderar möjligheten att avsluta processer och ta ögonblicksbilder av offrets skärm.

Hur når Numando Banking Trojan offer?

Skräppost är metoden #1 för att leverera just denna malware -familj. De kriminella förlitar sig vanligtvis på spam -kampanjer via e -post, som uppmanar mottagaren att ladda ner en filbilaga. Den senare är vanligtvis en ".ZIP" -fil, som innehåller ett MSI -installationsprogram inuti. Den falska installatören innehåller flera arkiv som, uppackade, laddar de skadliga modulerna som används för att köra Numando Banking Trojan. För att processen ska verka mer legitim kommer den falska installatören att använda falska stänkskärmar märkta med populära logotyper som den som JAVA använder. Detta kan ge användarna intrycket av att installationsprogrammet har frusit.

Var spelar offentliga tjänster in?

Det är inte ovanligt att hotaktörer missbrukar offentliga tjänster för att hjälpa deras attacker. I det här fallet förlitar sig Numando Banking Trojan -författarna främst på YouTube och PasteBin. Skurkarna använder speciellt utformade fil- och videotitlar eller beskrivningar för att lagra konfigurationsinformation som Numando Banking Trojan kan dechiffrera. Till exempel innehöll en olistad YouTube-videotitel en XOR-krypterad sträng som döljer kommando- och kontrollserverns adress och port. En liknande teknik används för att lagra nätverksinformation på PasteBin.

För att skydda ditt Windows-system mot sådana attacker krävs användning av en uppdaterad säkerhetsprogramvara. Det kommer att kunna identifiera och stoppa de skadliga filerna innan de får chansen att orsaka problem.

September 22, 2021