Numando Banking Trojan
Un nouveau rapport a mis en lumière un autre cheval de Troie bancaire d'Amérique latine. La menace s'appelle Numando et est utilisée dans des campagnes d'attaque depuis au moins 2018. Alors que les opérations Numando se sont principalement concentrées sur le Brésil, des campagnes occasionnelles ont également été menées dans d'autres territoires, comme le Mexique et l'Espagne. Bien que les acteurs de la menace emploient plusieurs nouvelles techniques et tactiques, telles que l'utilisation de vidéos YouTube pour la configuration à distance, le taux de réussite de Numando est resté faible en raison du manque relatif de sophistication.
Table des matières
La chaîne d’attaque
L'attaque commence par la diffusion de spams et de messages de phishing. Les e-mails corrompus contiennent un message d'appât et une pièce jointe.ZIP. L'archive contient une application légitime, un injecteur et la charge utile de Numando. Lorsque la victime lance le programme légitime, il charge latéralement l'injecteur et conduit à l'exécution du logiciel malveillant. Dans une autre variante de la chaîne d'attaque, la charge utile non sécurisée est injectée dans une image BMP et extraite par la suite. Malgré sa taille suspecte, cette image BMP est parfaitement valide et peut être ouverte dans de nombreux éditeurs d'images et visualisée sans aucun problème. Les images détectées incluent souvent les logos de produits logiciels et d'entreprises légitimes tels qu'Avast et Java.
Les capacités menaçantes
La fonctionnalité principale de Numando est cohérente avec tous les autres chevaux de Troie bancaires de la région - en générant des superpositions sur des applications bancaires et de paiement légitimes, il essaie de collecter les informations d'identification du compte et les informations bancaires de la victime. De plus, la menace de malware peut simuler les entrées de la souris et du clavier, forcer le système infecté à redémarrer ou à s'arrêter, prendre des captures d'écran arbitraires et tuer les processus du navigateur.
Contrairement à de nombreux autres chevaux de Troie bancaires de la région d'Amérique latine, Numando ne semble pas être en développement actif. Les versions découvertes et les exemples montrent quelques modifications mineures qui ont été introduites au fil du temps, mais il n'y a pas eu d'améliorations ou d'ajouts majeurs.
Configuration à distance via des vidéos YouTube
La caractéristique la plus frappante de Numando est l'utilisation de plateformes publiques telles que YouTube, Pastebin et autres, pour la configuration à distance. Les vidéos YouTube comprenaient des informations qui suivent un modèle spécifique reconnu par la menace. La chaîne commence par 'DATA:{' suivi de trois entrées séparées par ':' avant un caractère de fermeture '}'. Après avoir été informé par les chercheurs d'infosec traquant la menace, Google a retiré la vidéo impliquée dans les campagnes nuisibles.
