Numando 银行木马以拉丁美洲为目标,利用热门服务

trojan horse

拉丁美洲的威胁行为者背后有一长串银行木马。过去几年来,像 Bizarro 银行木马这样的主要恶意软件系列一直困扰着拉丁美洲的用户。然而,一个新的木马家族似乎正在兴起。这种被称为 Numando 银行木马的威胁正在滥用合法的公共服务来感染用户并控制他们的系统。犯罪分子使用的一些服务是 YouTube 和 PasteBin——然而,其他公共服务也是他们活动的一部分。

Numando 银行木马似乎已经开发了一段时间。该恶意软件的第一个副本可以追溯到 2018 年,但从那时起它发生了重大变化。它可能在过去一直很活跃,但攻击活动相对较小。然而,就规模而言,当前的竞选活动要严重得多。这种由 Delphi 编写的恶意软件已经感染了几个拉丁美洲国家的数千名用户。当然,犯罪分子的最终目标是从受害者那里窃取财务信息和凭据。

在功能方面,Numando Banking 木马与该地区活跃的其他木马没有什么不同。它的操作员能够模拟鼠标移动和按键操作。他们还可以远程重启或关闭受感染的系统,当然,他们可以显示虚假的覆盖。其他值得注意的功能包括终止进程和抓取受害者屏幕快照的能力。

Numando 银行木马如何影响受害者?

垃圾邮件是传播此特定恶意软件系列的第一大方法。犯罪分子通常依赖电子邮件垃圾邮件活动,这会促使收件人下载文件附件。后者通常是一个“.ZIP”文件,其中包含一个 MSI 安装程序。伪造的安装程序包含多个档案,解压后会加载用于执行 Numando Banking 木马的恶意模块。为了使该过程看起来更合法,虚假安装程序将使用带有流行徽标(例如 JAVA 使用的徽标)的虚假启动屏幕。这可能会给用户留下安装程序已冻结的印象。

公共服务在哪里发挥作用?

威胁行为者滥用公共服务以帮助他们进行攻击的情况并不少见。在这种情况下,Numando Banking Trojan 的作者主要依赖 YouTube 和 PasteBin。骗子使用特制的文件和视频标题或描述来存储 Numando Banking Trojan 可以破译的配置信息。例如,一个未列出的 YouTube 视频的标题包含一个 XOR 加密的字符串,它隐藏了命令和控制服务器的地址和端口。类似的技术用于在 PasteBin 上存储网络信息。

保护您的 Windows 系统免受此类攻击需要使用最新的安全软件套件。它将能够在恶意文件有机会造成任何麻烦之前识别并阻止它们。

September 22, 2021