Numando Banking Trojan

新しいレポートは、ラテンアメリカからのさらに別のバンキング型トロイの木馬に光を当てています。この脅威はヌマンドと呼ばれ、少なくとも2018年から攻撃キャンペーンで使用されています。ヌマンドの作戦は主にブラジルに焦点を当てていますが、メキシコやスペインなどの他の地域でも時折キャンペーンが実施されています。攻撃者は、リモート構成にYouTubeビデオを使用するなど、いくつかの斬新な手法と戦術を採用していますが、Numandoの成功率は、比較的洗練されていないため、低いままです。

アタックチェーン

攻撃は、スパムメールとフィッシングメッセージの拡散から始まります。破損した電子メールには、ベイトメッセージと.ZIP添付ファイルが含まれています。アーカイブには、正当なアプリケーション、インジェクター、およびNumandoのペイロードが含まれています。被害者が正当なプログラムを起動すると、インジェクターがサイドロードされ、マルウェアが実行されます。攻撃チェーンの別のバリエーションでは、安全でないペイロードがBMPイメージに挿入され、その後抽出されます。疑わしいほど大きいにもかかわらず、このBMP画像は完全に有効であり、多数の画像エディタで開いて問題なく表示できます。検出された画像には、多くの場合、アバストやJavaなどの正規のソフトウェア製品や企業のロゴが含まれています。

脅迫能力

Numandoの主な機能は、この地域の他のすべてのバンキング型トロイの木馬と一貫性があります。正当なバンキングおよび支払いアプリケーションにオーバーレイを生成することで、被害者のアカウントのクレデンシャルとバンキング情報を収集しようとします。さらに、マルウェアの脅威は、マウスとキーボードの入力をシミュレートし、感染したシステムを強制的に再起動またはシャットダウンし、任意のスクリーンショットを撮り、ブラウザプロセスを強制終了する可能性があります。

ラテンアメリカ地域の他の多くのバンキング型トロイの木馬とは異なり、Numandoは活発に開発されていないようです。発見されたバージョンとサンプルは、時間の経過とともに導入されたいくつかのマイナーな変更を示していますが、大きな改善や追加はありません。

YouTubeビデオを介したリモート構成

Numandoの最も顕著な特徴は、リモート構成にYouTube、Pastebinなどのパブリックプラットフォームを使用していることです。 YouTubeビデオには、脅威によって認識された特定のパターンに従った情報が含まれていました。文字列は「DATA：{」で始まり、最後の「}」文字の前に「：」で区切られた3つのエントリが続きます。脅威を追跡している情報セキュリティ研究者から通知を受けた後、Googleは有害なキャンペーンに関係するビデオを削除しました。