ESET-Forscher haben ihre Untersuchung des lateinamerikanischen Bankentrojaners Numando fortgesetzt und dabei vor allem Brasilien und selten Mexiko und Spanien im Besonderen ins Visier genommen. Diesmal zerlegt es sich. Numando ist in der Verwendung gefälschter Overlay-Fenster, der Backdoor-Fähigkeit und der Manipulation von Dienstprogrammen wie YouTube zur Aufrechterhaltung der Fernkonfiguration mit den anderen Malware-Familien vergleichbar. Numando zeigt jedoch keine Anzeichen einer kontinuierlichen Weiterentwicklung, wie dies bei mehreren lateinamerikanischen Banktrojanern der Fall war.
Numando ist seit 2018 in Betrieb und konzentriert sich ausschließlich auf Brasilien, doch seltene Angriffe konzentrierten sich auf Verbraucher in Mexiko und Spanien, wie Spezialisten berichteten. Diese in Delphi geschriebene Finanz-Malware zeigt gefälschte überlagerte Fenster an, um Opfer zur Eingabe sensibler Daten, einschließlich Bankdienstleistungsinformationen, zu verleiten.
Die Verbreitung erfolgt ausschließlich über Spam- und Phishing-Kampagnen. Solche Bemühungen sind nicht gerade anspruchsvoll und zum Zeitpunkt des Verfassens dieses Artikels wurden nur wenige hundert Opfer gefunden. Infolgedessen scheint Numando „erheblich weniger erfolgreich“ zu sein als andere, wie Mekotio und Grandoreiro, in ganz Lateinamerika.
Die fehlende Komplexität des Betreibers hat wahrscheinlich dazu beigetragen, eine niedrige Infektionsrate zu erreichen. Bei den jüngsten Kampagnen handelt es sich um an Numando gerichteten Spam, der eine E-Mail mit einer Phishing-Nachricht und einem ZIP-Anhang enthält.
„Einige Numando-Varianten speichern diese Bilder in einem verschlüsselten ZIP-Archiv in ihren .rsrc-Abschnitten, während andere nur für diese Speicherung eine separate Delphi-DLL verwenden. Backdoor-Funktionen ermöglichen es Numando, Maus- und Tastaturaktionen zu simulieren, die Maschine neu zu starten und herunterzufahren, Overlay-Fenster anzuzeigen, Screenshots zu erstellen und Browserprozesse abzubrechen.“ liest die von ESET veröffentlichte Analyse. „Im Gegensatz zu anderen lateinamerikanischen Banking-Trojanern sind die Befehle jedoch als Zahlen und nicht als Zeichenfolgen definiert, was uns bei der Benennung dieser Malware-Familie inspiriert hat.“
Ein Lockvogel. Es werden eine ZIP-Datei und eine Originaldatei heruntergeladen, die Folgendes enthält: CAB-Archiv – mit einer gültigen Softwareanwendung – einem Injektor und dem Trojaner. Die Malware ist in einer großen . BMP-Bilddatei. Der Injektor wird seitlich geladen und die Schadsoftware wird mit einem XOR-Verfahren entschlüsselt und ein Schlüssel für das Softwareprogramm implementiert.
Numando erstellt gefälschte Overlays, wenn ein Opfer Finanzdienstleistungen aufruft, nachdem diese auf ein Zielsystem heruntergeladen wurden. Geben Benutzer ihre Zugangsdaten ein, werden diese erfasst und an den C2-Server der Schadsoftware weitergeleitet. Numando verwaltet nicht nur Remote-Konfigurationseinstellungen, sondern nutzt auch öffentliche Dienste, insbesondere Pastebin und YouTube. Numando kann auch Mausklicks und Tasten-Shell-Operationen replizieren; das Herunterfahren eines PCs kapern und den Betrieb neu starten.
Quelle: https://www.ehackingnews.com/2021/09/numando-banking-trojan-targeting-brazil.html
- Amerika
- amerikanisch
- Analyse
- Anwendung
- Archiv
- Anschläge
- Hintertür-
- Bank
- Bankinggg
- BP
- Brasil
- Browser
- bauen
- Kampagnen
- KUNDEN
- Fälschung
- Referenzen
- technische Daten
- Delphi
- DID
- Evolution
- Familien
- Familie
- Revolution
- Finanzdienstleistungen
- HTTPS
- Einschließlich
- Infektion
- Information
- Untersuchung
- IT
- Wesentliche
- grosse
- Lateinamerika
- Latin American
- Malware
- Manipulation
- México
- Zahlen
- Einkauf & Prozesse
- Andere
- Anders
- PC
- Phishing
- ein Bild
- Programm
- Öffentlichkeit
- Lösungen
- Schale
- Schließung
- Software
- Spanien
- Spam
- Lagerung
- speichern
- erfolgreich
- System
- Zeit
- Trojan
- Nutzer
- Dienstprogramme
- Fenster
- .
- Schreiben
- Youtube
Mehr von E-Hacking-News
Hauptschlüssel zur Entschlüsselung von Kaseya, durchgesickert im Hacking-Forum
Quellknoten: 1018434
Zeitstempel: 12. August 2021
Untergrundkriminelle verkaufen gestohlenen Netzwerkzugang für bis zu 10,000 US-Dollar an Dritte
Quellknoten: 1864251
Zeitstempel: 13. August 2021
Phishing-Angreifer entdeckt, die Morsecode verwenden, um einer Entdeckung zu entgehen
Quellknoten: 1014382
Zeitstempel: 14. August 2021
Russland forderte von den USA eine Erklärung zu Cyberangriffen während der Wahlen zur Staatsduma
Quellknoten: 1875788
Zeitstempel: 23. September 2021
Microsoft hat Sicherheitsupdates veröffentlicht, die NTLM-Relay-Angriffe von PetitPotam blockieren
Quellknoten: 1018438
Zeitstempel: 12. August 2021
Daten von 100 Millionen JustDial-Kunden, die über ein Jahr lang ungesichert waren
Quellknoten: 995497
Zeitstempel: 29. Juli 2021
Agrius – Die iranische Hackergruppe nimmt Israel mit Datenlöschern ins Visier
Quellknoten: 874564
Zeitstempel: 26. Mai 2021
Thailands Daten zu 106 Millionen Besuchern wurden verletzt
Quellknoten: 1089498
Zeitstempel: 23. September 2021
Ein Bank-Trojaner, der sich als IT-Rückerstattung ausgibt, befällt 27 indische Banken
Quellknoten: 1089496
Zeitstempel: 23. September 2021
Schädliche Linux-Shell-Skripte, die zur Umgehung von Abwehrmaßnahmen eingesetzt werden
Quellknoten: 995155
Zeitstempel: 30. Juli 2021
Crytek bestätigt Datendiebstahl nach Egregor-Ransomware-Angriff
Quellknoten: 1864115
Zeitstempel: 12. August 2021
Neue Mac-Malware täuscht Benutzer, indem sie sich als legitimes macOS-Tool ausgibt
Quellknoten: 1875799
Zeitstempel: 23. September 2021