Der er opdaget en banktrojaner, der misbruger YouTube, Pastebin og andre offentlige platforme for at sprede og kontrollere kompromitterede maskiner.
Fredag afsluttede ESET en serie om bank -trojanere til stede i Latinamerika – herunder Janeleiro, en ny malware -prøve, der ligner Casbaneiro, Grandoreiro og Mekotio – men denne rammer ikke bare den region; i stedet er der blevet opdaget kampagner i hele Brasilien, Mexico og Spanien.
I et blogindlæg sagde cybersikkerhedsforskerne, at trojaneren, der hedder Numando, har været aktiv siden 2018. Skrevet i Delphi viser denne finansielle malware falske overlejringsvinduer for at dupe ofre til at indsende følsomme data, som f.eks. de legitimationsoplysninger, der bruges til at få adgang til finansielle tjenester.
Som det er tilfældet for mange bank -trojanske varianter, spredes Numando næsten “udelukkende” gennem spam og phishing -kampagner, siger ESET.
Disse forsøg er ikke ligefrem sofistikerede. I skrivende stund er der ikke sporet mere end et par hundrede ofre. Som et resultat ser det ud til, at Numando er “betydeligt mindre succesfuld” end andre latinamerikanske trojanske heste, herunder Mekotio og Grandoreiro.
Det er sandsynligt, at operatørens mangel på raffinement har bidraget til en lav infektionsrate. I de seneste kampagner består spam, der er sendt til distribution af Numando, af en phishing -besked og en .ZIP -vedhæftet fil, der følger med e -mailen.
En lokkende .ZIP -fil downloades sammen med en egentlig .ZIP -fil, der indeholder et .CAB -arkiv – sammen med en legitim software -app – en injektor og trojaneren. Malwaren er skjult i en stor .BMP-billedfil, hvoraf eksempler er nedenfor:
ESET
Hvis software-appen udføres, er injektoren sidelastet, og malware dekrypteres derefter ved hjælp af en XOR-algoritme og en nøgle.
Når den er installeret på en målmaskine, vil Numando oprette falske overlejringsvinduer, når et offer besøger finansielle tjenester. Hvis brugerne indsender deres legitimationsoplysninger, bliver de stjålet og sendt til malwareens kommando-og-kontrol (C2) server.
Numando misbruger også offentlige tjenester, herunder Pastebin og YouTube, til at administrere sine eksterne konfigurationsindstillinger.
“Formatet er enkelt – tre poster afgrænset med”: “mellem DATA: {og} markørerne,” forklarede ESET. “Hver post er krypteret separat på samme måde som andre strenge i Numando – med nøglen hardcoded i binæret. Dette gør det svært at dekryptere konfigurationen uden at have den tilsvarende binær, men Numando ændrer ikke sin dekrypteringsnøgle særlig ofte, muliggør dekryptering. ”
Google blev informeret om de videoer, der blev fundet af cybersikkerhedsteamet, og dem, der er blevet opdaget, er siden blevet fjernet.
Eksempel YouTube upload fjernkonfiguration
ESET
Numando er også i stand til at simulere museklik og tastaturhandlinger, kapre pc -lukning og genstarte funktioner, tage skærmbilleder og dræbe browserprocesser.
“I modsætning til de fleste andre latinamerikanske banker, der er omfattet af denne serie, viser Numando ikke tegn på kontinuerlig udvikling,” siger ESET. “Der er nogle mindre ændringer fra tid til anden, men generelt har binærerne ikke en tendens til at ændre sig meget.”
I andre nylige trojanske nyheder, i maj, afslørede Kaspersky Bizarro, en produktiv trojan, der for nylig blev opdaget i hele Europa. Bizarro har finjusteret kunderne i mindst 70 banker på tværs af lande, herunder Brasilien, Argentina og Chile, men ser nu ud til at være fokuseret på europæiske ofre.
Tidligere og beslægtet dækning
Bizarro -bank -trojanske stigninger i hele Europa
Mød Janeleiro: et nyt bank -trojansk firma, regering mål – Ondsindede apps på Google Play tabte bank -trojanere på brugerenheder
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Banking Security TV Data Management CXO Data Centers