I ricercatori di ESET hanno individuato un nuovo trojan bancario LATAM, denominato Numando, che abusa di YouTube, Pastebin e altre piattaforme pubbliche come infrastruttura C2.
Numando è scritto in Delphi e utilizza finestre sovrapposte false per attirare le informazioni sensibili dalle sue vittime. L’attore di minacce alla base di questa famiglia di malware è attivo dal 2018 e si rivolge principalmente al Brasile con rare campagne in Messico e Spagna.
Le sue caratteristiche più tipiche sono i metodi di distribuzione e la configurazione remota. È l’unico trojan bancario LATAM scritto in Delphi che utilizza un non Delphi injector e il suo formato di configurazione remota è unico.
Le funzionalità di backdoor consentono a Numando di simulare azioni di mouse e tastiera, riavviare e spegnere la macchina, visualizzare finestre sovrapposte, acquisire schermate e terminare i processi del browser.
A differenza di altri trojan bancari latino-americano i suoi comandi sono definiti come numeri anziché come stringhe. Le stringhe sono crittografate dall’algoritmo più comune tra i trojan bancari dell’America Latina e non sono organizzate in una tabella di stringhe e Numando raccoglie la versione e il bit di Windows della macchina vittima.
Il malware è distribuito quasi esclusivamente tramite spam. Le campagne recenti aggiungono semplicemente un allegato ZIP contenente un programma di installazione MSI a ciascun messaggio spam. Questo programma di installazione contiene un archivio CAB con un’applicazione legittima, un injector e una DLL crittografata del trojan bancario.
Se la potenziale vittima esegue l’MSI, eseguirà anche l’applicazione legittima e caricherà lateralmente l’injector il quale individua il payload e quindi lo decrittografa utilizzando un semplice algoritmo XOR con una chiave multibyte.
Come altri trojan bancari dell’America Latina, Numando abusa dei servizi pubblici per memorizzare la sua configurazione remota, in questo caso YouTube e Pastebin. Google ha rimosso prontamente i video in base alla notifica di ESET.
https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/
