Numando 銀行木馬以拉丁美洲為目標,利用熱門服務

trojan horse

拉丁美洲的威脅行為者背後有一長串銀行木馬。過去幾年來,像 Bizarro 銀行木馬這樣的主要惡意軟件系列一直困擾著拉丁美洲的用戶。然而,一個新的木馬家族似乎正在興起。這種被稱為 Numando 銀行木馬的威脅正在濫用合法的公共服務來感染用戶並控制他們的系統。犯罪分子使用的一些服務是 YouTube 和 PasteBin——然而,其他公共服務也是他們活動的一部分。

Numando 銀行木馬似乎已經開發了一段時間。該惡意軟件的第一個副本可以追溯到 2018 年,但從那時起它發生了重大變化。它可能在過去一直很活躍,但攻擊活動相對較小。然而,就規模而言,當前的競選活動要嚴重得多。這種由 Delphi 編寫的惡意軟件已經感染了幾個拉丁美洲國家的數千名用戶。當然,犯罪分子的最終目標是從受害者那裡竊取財務信息和憑據。

在功能方面,Numando Banking 木馬與該地區活躍的其他木馬沒有什麼不同。它的操作員能夠模擬鼠標移動和按鍵操作。他們還可以遠程重啟或關閉受感染的系統,當然,他們可以顯示虛假的覆蓋。其他值得注意的功能包括終止進程和抓取受害者屏幕快照的能力。

Numando 銀行木馬如何影響受害者?

垃圾郵件是傳播此特定惡意軟件系列的第一大方法。犯罪分子通常依賴電子郵件垃圾郵件活動,這會促使收件人下載文件附件。後者通常是一個“.ZIP”文件,其中包含一個 MSI 安裝程序。偽造的安裝程序包含多個檔案,解壓後會加載用於執行 Numando Banking 木馬的惡意模塊。為了使該過程看起來更合法,虛假安裝程序將使用帶有流行徽標(例如 JAVA 使用的徽標)的虛假啟動屏幕。這可能會給用戶留下安裝程序已凍結的印象。

公共服務在哪裡發揮作用?

威脅行為者濫用公共服務以幫助他們進行攻擊的情況並不少見。在這種情況下,Numando Banking Trojan 的作者主要依賴 YouTube 和 PasteBin。騙子使用特製的文件和視頻標題或描述來存儲 Numando Banking Trojan 可以破譯的配置信息。例如,一個未列出的 YouTube 視頻的標題包含一個 XOR 加密的字符串,它隱藏了命令和控制服務器的地址和端口。類似的技術用於在 PasteBin 上存儲網絡信息。

保護您的 Windows 系統免受此類攻擊需要使用最新的安全軟件套件。它將能夠在惡意文件有機會造成任何麻煩之前識別並阻止它們。

September 22, 2021