Det er oppdaget en banktrojaner som misbruker YouTube, Pastebin og andre offentlige plattformer for å spre og kontrollere kompromitterte maskiner.
På fredag avsluttet ESET en serie om bank -trojanere som er tilstede i Latin -Amerika – inkludert Janeleiro, en ny malware -prøve som ligner på Casbaneiro, Grandoreiro og Mekotio – men denne treffer ikke bare regionen; I stedet er det oppdaget kampanjer i Brasil, Mexico og Spania.
I et blogginnlegg sa cybersikkerhetsforskerne at trojaneren, som heter Numando, har vært aktiv siden 2018. Skrevet i Delphi, viser denne økonomiske skadelige programvaren falske overleggsvinduer for å lure ofre til å sende inn sensitive data, som f.eks. legitimasjonen som brukes for å få tilgang til finansielle tjenester.
Som det er tilfelle for mange bank -trojanske varianter, spres Numando nesten “utelukkende” gjennom spam- og phishing -kampanjer, sier ESET.
Disse forsøkene er ikke akkurat sofistikerte. I skrivende stund har ikke mer enn noen få hundre ofre blitt sporet. Som et resultat ser det ut til at Numando er “betydelig mindre vellykket” enn andre latinamerikanske trojanere, inkludert Mekotio og Grandoreiro.
Det er sannsynlig at operatørens mangel på raffinement har bidratt til en lav infeksjonsrate. I de siste kampanjene består spam som sendes for å distribuere Numando av en phishing -melding og et .ZIP -vedlegg som følger med e -posten.
En lokkende .ZIP -fil lastes ned, sammen med en faktisk .ZIP -fil som inneholder et .CAB -arkiv – sammen med en legitim programvare – en sprøytepistol, og trojaneren. Skadelig programvare er skjult i en stor .BMP-bildefil, hvorav eksempler er nedenfor:
ESET
Hvis programvareappen kjøres, blir injektoren sidelastet og skadelig programvare dekrypteres deretter med en XOR-algoritme og en nøkkel.
Når Numando er installert på en målmaskin, vil Numando lage falske overleggsvinduer når et offer besøker finansielle tjenester. Hvis brukere sender inn legitimasjon, blir de stjålet og sendt til skadelig programvare for kommando-og-kontroll (C2) -serveren.
Numando misbruker også offentlige tjenester, inkludert Pastebin og YouTube, for å administrere de eksterne konfigurasjonsinnstillingene.
“Formatet er enkelt – tre oppføringer avgrenset med”: “mellom DATA: {og} -markørene,” forklarte ESET. “Hver oppføring er kryptert separat på samme måte som andre strenger i Numando – med nøkkelen hardkodet i binæren. Dette gjør det vanskelig å dekryptere konfigurasjonen uten å ha den tilsvarende binæren, men Numando endrer ikke dekrypteringsnøkkelen veldig ofte, gjør dekryptering mulig. ”
Google ble informert om videoene som ble funnet av cybersikkerhetsteamet, og de som har blitt oppdaget, har siden blitt fjernet.
Eksempel YouTube opplasting av ekstern konfigurasjon
ESET
Numando er også i stand til å simulere museklikk og tastaturhandlinger, kapre PC -avslutning og starte funksjoner på nytt, ta skjermbilder og drepe nettleserprosesser.
“I motsetning til de fleste andre latinamerikanske banker som er omtalt i denne serien, viser Numando ikke tegn til kontinuerlig utvikling,” sier ESET. “Det er noen mindre endringer fra tid til annen, men generelt har binærene ikke en tendens til å endre seg mye.”
I andre nylige trojanske nyheter, i mai, avslørte Kaspersky Bizarro, en fruktbar trojan som nylig ble oppdaget over hele Europa. Bizarro har finjustert kundene til minst 70 banker på tvers av land inkludert Brasil, Argentina og Chile, men ser nå ut til å være fokusert på europeiske ofre.
Tidligere og beslektet dekning
Trojanske bølger i Bizarro -banker over hele Europa
Møt Janeleiro: et nytt bankforretning for trojanere, regjeringens mål – Ondsinnede apper på Google Play droppet banktrojanere på brukerenheter
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Banking Security TV Data Management CXO Data Centers