È stato rilevato un trojan bancario che abusa di YouTube, Pastebin e altre piattaforme pubbliche per diffondere e controllare i computer compromessi.
Venerdì, ESET ha concluso una serie sui trojan bancari presenti in America Latina, tra cui Janeleiro, un nuovo campione di malware simile a Casbaneiro, Grandoreiro e Mekotio, ma questo non colpisce solo quella regione; invece, sono state rilevate campagne in Brasile, Messico e Spagna.
In un post sul blog, i ricercatori della sicurezza informatica hanno affermato che il trojan, chiamato Numando, è attivo dal 2018. Scritto in Delphi, questo malware finanziario mostra finte finestre di sovrapposizione per indurre le vittime a inviare dati sensibili, come le credenziali utilizzate per accedere ai servizi finanziari.
Come nel caso di molte varianti di Trojan bancari, Numando si diffonde quasi “esclusivamente” attraverso campagne di spam e phishing, afferma ESET.
Questi tentativi non sono esattamente sofisticati, al momento in cui scriviamo non sono state rintracciate più di poche centinaia di vittime. Di conseguenza, sembra che Numando abbia “molto meno successo” di altri troiani latinoamericani, inclusi Mekotio e Grandoreiro.
È probabile che la mancanza di sofisticatezza dell'operatore abbia contribuito a un basso tasso di infezione. Nelle campagne recenti, lo spam inviato per distribuire Numando è composto da un messaggio di phishing e da un allegato .ZIP incluso nell'e-mail.
Viene scaricato un file .ZIP esca, insieme a un file .ZIP effettivo che contiene un archivio .CAB – in bundle con un'app software legittima – un iniettore e il Trojan. Il malware è nascosto in un grande file immagine .BMP, i cui esempi sono riportati di seguito:
ESET
Se l'app software viene eseguita, l'iniettore viene caricato lateralmente e il malware viene quindi decrittografato utilizzando un algoritmo XOR e una chiave.
Una volta installato su una macchina di destinazione, Numando creerà finte finestre di sovrapposizione quando una vittima visita i servizi finanziari. Se gli utenti inviano le proprie credenziali, vengono rubate e inviate al server di comando e controllo (C2) del malware.
Numando abusa anche dei servizi pubblici, inclusi Pastebin e YouTube, per gestire le sue impostazioni di configurazione remota.
“Il formato è semplice: tre voci delimitate da “:” tra i marcatori DATA: { e }”, ha spiegato ESET. “Ogni voce è crittografata separatamente allo stesso modo delle altre stringhe in Numando – con la chiave codificata nel binario. Ciò rende difficile decifrare la configurazione senza avere il binario corrispondente, tuttavia, Numando non cambia la sua chiave di decrittazione molto spesso, rendendo possibile la decrittazione.”
Google è stata informata dei video trovati dal team di sicurezza informatica e quelli che sono stati rilevati sono stati rimossi.
Esempio di caricamento della configurazione remota di YouTube
ESET
Numando è anche in grado di simulare i clic del mouse e le azioni della tastiera, dirottare le funzioni di spegnimento e riavvio del PC, acquisire schermate e interrompere i processi del browser.
“A differenza della maggior parte degli altri trojan bancari latinoamericani trattati in questa serie, Numando non mostra segni di sviluppo continuo”, afferma ESET. “Ci sono alcuni piccoli cambiamenti di volta in volta, ma nel complesso i binari non tendono a cambiare molto”.
In altre recenti notizie sui trojan, a maggio, Kaspersky ha smascherato Bizarro, un prolifico trojan rilevato di recente in tutta Europa. Bizarro si è concentrato sui clienti di almeno 70 banche in paesi tra cui Brasile, Argentina e Cile, ma ora sembra concentrarsi sulle vittime europee.
Copertura precedente e correlata
Il trojan bancario Bizarro si diffonde in tutta Europa
Incontra Janeleiro: una nuova azienda che colpisce un trojan bancario, obiettivi del governo
Le app dannose su Google Play hanno eliminato i trojan bancari sui dispositivi degli utenti
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Banking Security TV Data Management CXO Data Center 