En banktrojan har upptäckts som missbrukar YouTube, Pastebin och andra offentliga plattformar för att sprida och kontrollera komprometterade maskiner.
På fredagen avslutade ESET en serie om banktrojaner som finns i Latinamerika – inklusive Janeleiro, ett nytt malware -exempel som liknar Casbaneiro, Grandoreiro och Mekotio – men den här träffar inte bara den regionen; i stället har kampanjer upptäckts i Brasilien, Mexiko och Spanien.
I ett blogginlägg sa cybersäkerhetsforskarna att trojanen, som heter Numando, har varit aktiv sedan 2018. Skrivet i Delphi, denna finansiella skadliga program visar falska överlagringsfönster för att luras offer för att skicka känslig data, som t.ex. de referenser som används för att få tillgång till finansiella tjänster.
Som det är fallet med många banktrojanska varianter sprids Numando nästan “uteslutande” genom spam- och nätfiske -kampanjer, säger ESET.
Dessa försök är inte exakt sofistikerade, i skrivande stund har inte mer än några hundra offer spårats. Som ett resultat verkar det som att Numando är “betydligt mindre framgångsrik” än andra latinamerikanska trojaner, inklusive Mekotio och Grandoreiro.
Det är troligt att operatörens brist på sofistikering har bidragit till en låg infektionsgrad. I de senaste kampanjerna består skräppost som skickas för att distribuera Numando av ett nätfiskemeddelande och en .ZIP -bifogad fil med e -postmeddelandet.
En lokkig .ZIP -fil laddas ner, tillsammans med en verklig .ZIP -fil som innehåller ett .CAB -arkiv – tillsammans med en legitim programvara – en injektor och trojanen. Skadlig programvara är dold i en stor .BMP-bildfil, varav prov finns nedan:
ESET
Om programvaruappen körs, är injektorn sidladdad och skadlig programvara dekrypteras sedan med en XOR-algoritm och en nyckel.
Efter att ha installerats på en målmaskin kommer Numando att skapa falska överläggsfönster när ett offer besöker finansiella tjänster. Om användare skickar in sina uppgifter, blir de stulna och skickade till skadlig programvarans kommando-och-kontroll (C2) -server.
Numando missbrukar också offentliga tjänster inklusive Pastebin och YouTube för att hantera sina fjärrkonfigurationsinställningar.
“Formatet är enkelt – tre poster avgränsade med”: “mellan DATA: {och} markörerna”, förklarade ESET. “Varje post är krypterad separat på samma sätt som andra strängar i Numando – med nyckeln hårdkodad i binären. Detta gör det svårt att dekryptera konfigurationen utan att ha motsvarande binär, men Numando ändrar inte sin dekrypteringsnyckel särskilt ofta, möjliggör dekryptering. ”
Google informerades om de videor som cybersäkerhetsteamet hittat och de som har upptäckts har sedan tagits bort.
Exempel YouTube fjärrkonfigurationsöverföring
ESET
Numando kan också simulera musklick och tangentbordsåtgärder, kapa PC -avstängning och starta om funktioner, ta skärmdumpar och döda webbläsarprocesser.
“Till skillnad från de flesta andra latinamerikanska banktrojaner som omfattas av denna serie visar Numando inga tecken på kontinuerlig utveckling”, säger ESET. “Det finns några mindre förändringar då och då, men totalt sett tenderar binärfilerna inte att förändras så mycket.”
I andra senaste trojanska nyheter, i maj, avslöjade Kaspersky Bizarro, en produktiv trojan som nyligen upptäcktes i hela Europa. Bizarro har tagit hänsyn till kunderna från minst 70 banker i länder inklusive Brasilien, Argentina och Chile, men verkar nu fokusera på europeiska offer.
Tidigare och relaterad täckning
Trojanska bizarrobanker i Europa
Möt Janeleiro: ett nytt banktrojanskt slående företag, regeringens mål
Skadliga appar på Google Play släppte banktrojaner på användarenheter
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Banking Security TV Data Management CXO Data Centers