已检测到一种银行木马,该木马滥用 YouTube、Pastebin 和其他公共平台以传播和控制受感染的机器。
周五,ESET 结束了一系列针对存在于 拉丁美洲——包括 Janeleiro,一种类似于 Casbaneiro、Grandoreiro 和 Mekotio 的新恶意软件样本——但这个恶意软件不仅仅针对该地区; 相反,在巴西、墨西哥和西班牙都检测到了广告系列。
网络安全研究人员在一篇博文中表示,名为 Numando 的木马自 2018 年以来一直活跃。这种金融恶意软件使用 Delphi 编写,会显示虚假的覆盖窗口,以欺骗受害者提交敏感数据,例如用于访问金融服务的凭据 .
ESET 表示,与许多银行木马变种一样,Numando 几乎“完全”通过垃圾邮件和网络钓鱼活动传播。
这些尝试并不十分复杂,截至撰写本文时,已追踪到的受害者不超过数百名 . 因此,Numando 似乎比其他拉丁美洲特洛伊木马“成功得多”,包括 Mekotio 和 Grandoreiro。
操作员的不熟练可能导致感染率低。 在最近的活动中,发送用于分发 Numando 的垃圾邮件由网络钓鱼邮件和电子邮件中包含的 .ZIP 附件组成。
下载了一个诱饵 .ZIP 文件,以及一个包含 .CAB 存档的实际 .ZIP 文件——与合法软件应用程序捆绑在一起——注入器和木马。 该恶意软件隐藏在一个大的 .BMP 图像文件中,其中示例如下:
如果执行软件应用程序,则注入器被侧载,然后使用 XOR 算法和密钥对恶意软件进行解密。
一旦安装在目标机器上,Numando 将在受害者访问金融服务时创建虚假覆盖窗口。 如果用户提交他们的凭据,他们就会被窃取并发送到恶意软件的命令和控制 (C2) 服务器。
Numando 还滥用包括 Pastebin 和 YouTube 在内的公共服务来管理其远程配置设置。
“格式很简单——三个条目在 DATA:{ 和 } 标记之间用“:”分隔,”ESET 解释说。 “每个条目都以与 Numando 中的其他字符串相同的方式单独加密——密钥硬编码在二进制文件中。这使得在没有相应二进制文件的情况下很难解密配置,但是,Numando 不会经常更改其解密密钥, 使解密成为可能。”
Google 获悉网络安全团队发现的视频,并且已检测到的视频已被删除。
Numando 还能够模拟鼠标点击和键盘操作、劫持 PC 关机和重启功能、截取屏幕截图以及终止浏览器进程。
“与本系列中涵盖的大多数其他拉丁美洲银行木马不同,Numando 没有显示出持续发展的迹象,”ESET 说。 “有时会有一些细微的变化,但总体而言,二进制文件不会发生太大变化。”
在最近的木马新闻中,卡巴斯基在 5 月揭露了 Bizarro,这是一种最近在欧洲发现的多产木马。 Bizarro 已经深入研究了巴西、阿根廷和智利等国家至少 70 家银行的客户,但现在似乎专注于欧洲受害者。
以前和相关的报道
Bizarro 银行木马在欧洲激增 认识 Janeleiro:一个新的银行木马攻击公司,政府瞄准 Google Play 上的恶意应用程序在用户设备上丢弃了银行木马有提示吗? 通过 WhatsApp 安全地取得联系 | +447713 025 499 或 Keybase 上的信号:charlie0
