Numando Banking Trojan

Numando Banking Trojan Descripción

Un nuevo informe arrojó luz sobre otro troyano bancario de América Latina. La amenaza se llama Numando y se ha utilizado en campañas de ataque desde al menos 2018. Si bien las operaciones de Numando se han centrado principalmente en Brasil, también se han llevado a cabo campañas de ocasión en otros territorios, como México y España. Aunque los actores de amenazas emplean varias técnicas y tácticas novedosas, como el uso de videos de YouTube para la configuración remota, la tasa de éxito de Numando se ha mantenido baja debido a la relativa falta de sofisticación.

La cadena de ataque

El ataque comienza con la difusión de correos electrónicos no deseados y mensajes de phishing. Los correos electrónicos corruptos contienen un mensaje de cebo y un archivo adjunto ZIP. El archivo contiene una aplicación legítima, un inyector y la carga útil de Numando. Cuando la víctima inicia el programa legítimo, carga lateralmente el inyector y conduce a la ejecución del malware. En otra variación de la cadena de ataque, la carga útil insegura se inyecta en una imagen BMP y se extrae posteriormente. A pesar de ser sospechosamente grande, esta imagen BMP es perfectamente válida y puede abrirse en numerosos editores de imágenes y visualizarse sin problemas. Las imágenes detectadas a menudo incluyen los logotipos de productos de software legítimos y empresas como Avast y Java.

Las capacidades amenazadoras

La funcionalidad principal de Numando es coherente con todos los demás troyanos bancarios de la región: al generar superposiciones sobre aplicaciones bancarias y de pago legítimas, intenta recopilar las credenciales de la cuenta de la víctima y la información bancaria. Además, la amenaza de malware puede simular las entradas del mouse y el teclado, obligar al sistema infectado a reiniciarse o apagarse, tomar capturas de pantalla arbitrarias y eliminar los procesos del navegador.

A diferencia de muchos de los otros troyanos bancarios de la región de América Latina, Numando no parece estar en desarrollo activo. Las versiones y muestras descubiertas muestran algunos cambios menores que se han introducido con el tiempo, pero no ha habido mejoras o adiciones importantes.

Configuración remota a través de videos de YouTube

La característica más llamativa de Numando es el uso de plataformas públicas como YouTube, Pastebin y otras, para la configuración remota. Los videos de YouTube incluían información que sigue un patrón específico reconocido por la amenaza. La cadena comienza con 'DATA: {' seguida de tres entradas separadas por ':' antes de un carácter de cierre '}'. Después de ser notificado por los investigadores de seguridad de información que rastreaban la amenaza, Google ha eliminado el video involucrado en las campañas dañinas.