Numando: Ein Banking-Trojaner, der es auf Brasilien abgesehen hat, missbraucht YouTube zur Verbreitung

ESET-Forscher haben ihre Untersuchung des lateinamerikanischen Bankentrojaners Numando fortgesetzt und dabei vor allem Brasilien und selten Mexiko und Spanien im Besonderen ins Visier genommen. Diesmal zerlegt es sich. Numando ist in der Verwendung gefälschter Overlay-Fenster, der Backdoor-Fähigkeit und der Manipulation von Dienstprogrammen wie YouTube zur Aufrechterhaltung der Fernkonfiguration mit den anderen Malware-Familien vergleichbar. Numando zeigt jedoch keine Anzeichen einer kontinuierlichen Weiterentwicklung, wie dies bei mehreren lateinamerikanischen Banktrojanern der Fall war. 

Numando ist seit 2018 in Betrieb und konzentriert sich ausschließlich auf Brasilien, doch seltene Angriffe konzentrierten sich auf Verbraucher in Mexiko und Spanien, wie Spezialisten berichteten. Diese in Delphi geschriebene Finanz-Malware zeigt gefälschte überlagerte Fenster an, um Opfer zur Eingabe sensibler Daten, einschließlich Bankdienstleistungsinformationen, zu verleiten. 

Die Verbreitung erfolgt ausschließlich über Spam- und Phishing-Kampagnen. Solche Bemühungen sind nicht gerade anspruchsvoll und zum Zeitpunkt des Verfassens dieses Artikels wurden nur wenige hundert Opfer gefunden. Infolgedessen scheint Numando „erheblich weniger erfolgreich“ zu sein als andere, wie Mekotio und Grandoreiro, in ganz Lateinamerika. 

Die fehlende Komplexität des Betreibers hat wahrscheinlich dazu beigetragen, eine niedrige Infektionsrate zu erreichen. Bei den jüngsten Kampagnen handelt es sich um an Numando gerichteten Spam, der eine E-Mail mit einer Phishing-Nachricht und einem ZIP-Anhang enthält. 

„Einige Numando-Varianten speichern diese Bilder in einem verschlüsselten ZIP-Archiv in ihren .rsrc-Abschnitten, während andere nur für diese Speicherung eine separate Delphi-DLL verwenden. Backdoor-Funktionen ermöglichen es Numando, Maus- und Tastaturaktionen zu simulieren, die Maschine neu zu starten und herunterzufahren, Overlay-Fenster anzuzeigen, Screenshots zu erstellen und Browserprozesse abzubrechen.“ liest die von ESET veröffentlichte Analyse. „Im Gegensatz zu anderen lateinamerikanischen Banking-Trojanern sind die Befehle jedoch als Zahlen und nicht als Zeichenfolgen definiert, was uns bei der Benennung dieser Malware-Familie inspiriert hat.“ 

Ein Lockvogel. Es werden eine ZIP-Datei und eine Originaldatei heruntergeladen, die Folgendes enthält: CAB-Archiv – mit einer gültigen Softwareanwendung – einem Injektor und dem Trojaner. Die Malware ist in einer großen . BMP-Bilddatei. Der Injektor wird seitlich geladen und die Schadsoftware wird mit einem XOR-Verfahren entschlüsselt und ein Schlüssel für das Softwareprogramm implementiert. 

Numando erstellt gefälschte Overlays, wenn ein Opfer Finanzdienstleistungen aufruft, nachdem diese auf ein Zielsystem heruntergeladen wurden. Geben Benutzer ihre Zugangsdaten ein, werden diese erfasst und an den C2-Server der Schadsoftware weitergeleitet. Numando verwaltet nicht nur Remote-Konfigurationseinstellungen, sondern nutzt auch öffentliche Dienste, insbesondere Pastebin und YouTube. Numando kann auch Mausklicks und Tasten-Shell-Operationen replizieren; das Herunterfahren eines PCs kapern und den Betrieb neu starten.