Er is een banktrojan gedetecteerd die misbruik maakt van YouTube, Pastebin en andere openbare platforms om gecompromitteerde machines te verspreiden en te controleren.
Op vrijdag heeft ESET een serie afgerond over bancaire trojans die aanwezig zijn in Latijns-Amerika – inclusief Janeleiro, een nieuw malware-voorbeeld vergelijkbaar met Casbaneiro, Grandoreiro en Mekotio – maar deze treft niet alleen die regio; in plaats daarvan zijn er campagnes gedetecteerd in Brazilië, Mexico en Spanje.
In een blogpost zeiden de cyberbeveiligingsonderzoekers dat de trojan, Numando genaamd, actief is sinds 2018. Deze financiële malware is geschreven in Delphi en geeft valse overlayvensters weer om slachtoffers te verleiden gevoelige gegevens in te dienen, zoals de inloggegevens die worden gebruikt om toegang te krijgen tot financiële diensten.
Zoals het geval is met veel varianten van banktrojans, wordt Numando bijna “exclusief” verspreid via spam- en phishing-campagnes, zegt ESET.
Deze pogingen zijn niet bepaald geavanceerd, op het moment van schrijven zijn er niet meer dan een paar honderd slachtoffers getraceerd. Als gevolg hiervan lijkt Numando “aanzienlijk minder succesvol” te zijn dan andere Latijns-Amerikaanse Trojaanse paarden, waaronder Mekotio en Grandoreiro.
Het is waarschijnlijk dat het gebrek aan verfijning van de operator heeft bijgedragen aan een laag infectiepercentage. In recente campagnes bestaat spam die wordt verzonden om Numando te verspreiden, uit een phishingbericht en een .ZIP-bijlage die bij de e-mail wordt gevoegd.
Er wordt een lokmiddel .ZIP-bestand gedownload, samen met een echt .ZIP-bestand dat een .CAB-archief bevat — gebundeld met een legitieme software-app — een injector en de trojan. De malware is verborgen in een groot .BMP-afbeeldingsbestand, waarvan hieronder voorbeelden:
ESET
Als de software-app wordt uitgevoerd, wordt de injector aan de zijkant geladen en wordt de malware vervolgens gedecodeerd met behulp van een XOR-algoritme en een sleutel.
Eenmaal geïnstalleerd op een doelcomputer, zal Numando valse overlayvensters creëren wanneer een slachtoffer financiële diensten bezoekt. Als gebruikers hun inloggegevens indienen, worden ze gestolen en naar de command-and-control (C2) -server van de malware gestuurd.
Numando maakt ook misbruik van openbare diensten, waaronder Pastebin en YouTube, om de configuratie-instellingen op afstand te beheren.
“Het formaat is eenvoudig — drie items gescheiden door “:” tussen de markeringen DATA:{ en }”, legt ESET uit. “Elk item wordt afzonderlijk gecodeerd op dezelfde manier als andere strings in Numando – met de sleutel hard gecodeerd in het binaire bestand. Dit maakt het moeilijk om de configuratie te decoderen zonder het bijbehorende binaire bestand, maar Numando verandert zijn decoderingssleutel niet vaak, ontsleuteling mogelijk maken.”
Google is op de hoogte gesteld van de video's die zijn gevonden door het cyberbeveiligingsteam en de gedetecteerde video's zijn inmiddels verwijderd.
Voorbeeld van uploaden via YouTube op afstand
ESET
Numando kan ook muisklikken en toetsenbordacties simuleren, functies voor het afsluiten en herstarten van pc's kapen, schermafbeeldingen maken en browserprocessen beëindigen.
“In tegenstelling tot de meeste andere Latijns-Amerikaanse bank-trojans die in deze serie worden behandeld, vertoont Numando geen tekenen van voortdurende ontwikkeling”, zegt ESET. “Er zijn van tijd tot tijd wat kleine veranderingen, maar over het algemeen veranderen de binaire bestanden niet veel.”
In ander recent Trojaans nieuws, in mei, ontmaskerde Kaspersky Bizarro, een productieve Trojan die onlangs in heel Europa werd gedetecteerd. Bizarro heeft de klanten van ten minste 70 banken in verschillende landen, waaronder Brazilië, Argentinië en Chili, aangescherpt, maar lijkt zich nu te concentreren op Europese slachtoffers.
Eerdere en gerelateerde berichtgeving
Bizarro banking trojan stijgt in heel Europa
Maak kennis met Janeleiro: een nieuw bedrijf dat trojans op het gebied van bankieren, doelwitten van de overheid
Schadelijke apps op Google Play hebben bancaire trojans op gebruikersapparaten verwijderd
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Bankieren Beveiliging TV-gegevensbeheer CXO-datacenters 