Numando: Nov├Ż bankov├Ż tr├│jsky k├┤┼ł zacielen├Ż na pou┼ż├şvate─żov Latinskej Ameriky

Novo spozorovan├Ż bankov├Ż tr├│jsky k├┤┼ł bol prichyten├Ż pri vyu┼ż├şvan├ş legit├şmnych platforiem ako YouTube a Pastebin na ulo┼żenie ┼íifrovanej, vzdialenej konfigur├ície a napadnut├ęho pr├şkazom Windows syst├ęmy, v─Ćaka ─Źomu je najnov┼í├şm zaraden├şm do dlh├ęho zoznamu ┼íkodliv├ęho softv├ęru zameran├ęho na Latinsk├║ Ameriku (LATAM) po Guildme, Javali, Melcoz, Grandoreiro, Mekotio, Casbaneiro, Amavaldo, Vadokrist a Janeleiro.

Herec hrozby za touto rodinou malv├ęrov – prez├Żvan├Ż ÔÇ×Numando” – ├║dajne je akt├şvny najmenej od roku 2018.

“[Numando brings] zauj├şmav├ę nov├ę techniky do s├║boru trikov latinskoamerick├Żch bankov├Żch tr├│jskych kon├ş, ako napr├şklad pou┼żitie zdanlivo zbyto─Źn├Żch arch├şvov ZIP alebo sp├íjanie u┼żito─Źn├Żch d├ít s n├ívnadn├Żmi obr├ízkami BMP, ÔÇťuviedli vedci spolo─Źnosti ESET v technickej anal├Żze zverejnenej v piatok.ÔÇ× Geograficky sa zameriava takmer v├Żlu─Źne na Braz├şliu s vz├ícne kampane v Mexiku a ┼ápanielsku. ÔÇť

Malv├ęr je nap├şsan├Ż v jazyku Delphi a pon├║ka mno┼żstvo funkci├ş zadn├Żch vr├ítok, ktor├ę mu umo┼ż┼łuj├║ ovl├ída┼ą napadnut├ę po─Ź├şta─Źe, simulova┼ą akcie my┼íi a kl├ívesnice, re┼ítartova┼ą a vyp├şna┼ą hostite─ża, zobrazova┼ą prekrytie. windows, zachyt├ívajte sn├şmky obrazovky a ukon─Źujte procesy prehliada─Źa. Pod─ża telemetrick├Żch ├║dajov kybernetickej bezpe─Źnostnej spolo─Źnosti je Numando ÔÇ×takmer v├Żlu─ŹneÔÇť propagovan├ę spamov├Żmi kampa┼łami, ktor├ę do dne┼ín├ęho d┼ła uv├Ąznili nieko─żko stoviek obet├ş.

Bankov├Ż tr├│jsky k├┤┼ł

├Ütoky za─Ź├şnaj├║ phishingovou spr├ívou, ktor├í je s├║─Źas┼ąou pr├şlohy ZIP obsahuj├║cej in┼ítal├ítor MSI a ktor├í obsahuje arch├şv kabinetu s legit├şmnou aplik├íciou, injektor a ┼íifrovan├║ trojansk├║ kni┼żnicu DLL Numando. Spustenie MSI vedie k spusteniu aplik├ície, ─Źo sp├┤sob├ş bo─Źn├ę na─Ź├ştanie injektorov├ęho modulu a de┼íifrovanie kone─Źn├ęho stup┼ła u┼żito─Źn├ęho za┼ąa┼żenia ┼íkodliv├Żm softv├ęrom.

Spr├íva podnikov├Żch hesiel

V alternat├şvnom distribu─Źnom re┼ąazci pozorovanom spolo─Źnos┼ąou ESET m├í malware podobu ÔÇ×podozrivo ve─żk├ęhoÔÇť, ale platn├ęho obr├ízkov├ęho s├║boru BMP, z ktor├ęho injektor extrahuje a spust├ş bankov├Ż trojan Numando. Kampa┼ł vynik├í predov┼íetk├Żm t├Żm, ako ju pou┼ż├şva YouTube n├ízvy vide├ş a popisy-teraz stiahnut├ę-na ulo┼żenie vzdialenej konfigur├ície, ako je IP adresa servera pr├şkazov a ovl├ídania.

“[The malware] pou┼ż├şva falo┼ín├ę prekrytie windows, obsahuje funkcie zadn├Żch vr├ítok a vyu┼ż├şva MSI [installer]ÔÇť, uviedli vedci.ÔÇ× Je to jedin├Ż bankov├Ż tr├│jsky k├┤┼ł LATAM nap├şsan├Ż v Delphi, ktor├Ż pou┼ż├şva injektor, ktor├Ż nie je Delphi, a jeho form├ít vzdialenej konfigur├ície je jedine─Źn├Ż, ─Źo predstavuje dva spo─żahliv├ę faktory pri identifik├ícii tejto rodiny malv├ęrov. ÔÇť