Numando Banking-Trojaner

Numando Banking-Trojaner-Beschreibung

Ein neuer Bericht hat einen weiteren Banking-Trojaner aus Lateinamerika beleuchtet. Die Bedrohung heißt Numando und wird seit mindestens 2018 in Angriffskampagnen eingesetzt. Während sich die Numando-Operationen hauptsächlich auf Brasilien konzentrierten, wurden gelegentliche Kampagnen auch in anderen Gebieten wie Mexiko und Spanien durchgeführt. Obwohl die Bedrohungsakteure mehrere neuartige Techniken und Taktiken anwenden, wie z. B. die Verwendung von YouTube-Videos für die Fernkonfiguration, ist die Erfolgsquote von Numando aufgrund des relativen Mangels an Raffinesse niedrig geblieben.

Die Angriffskette

Der Angriff beginnt mit der Verbreitung von Spam-E-Mails und Phishing-Nachrichten. Die beschädigten E-Mails enthalten eine Ködernachricht und einen ZIP-Anhang. Das Archiv enthält eine legitime Anwendung, einen Injektor und die Nutzlast von Numando. Wenn das Opfer das legitime Programm startet, lädt es den Injektor seitlich und führt zur Ausführung der Malware. In einer anderen Variante der Angriffskette wird die unsichere Nutzlast in ein BMP-Image injiziert und anschließend extrahiert. Obwohl dieses BMP-Bild verdächtig groß ist, ist es absolut gültig und kann in zahlreichen Bildbearbeitungsprogrammen geöffnet und problemlos angezeigt werden. Die erkannten Bilder enthalten häufig Logos legitimer Softwareprodukte und Unternehmen wie Avast und Java.

Die bedrohlichen Fähigkeiten

Die Hauptfunktionalität von Numando stimmt mit allen anderen Banking-Trojanern aus der Region überein – indem es Overlays über legitime Bank- und Zahlungsanwendungen generiert, versucht es, die Kontodaten und Bankinformationen des Opfers zu sammeln. Darüber hinaus kann die Malware-Bedrohung Maus- und Tastatureingaben simulieren, das infizierte System zum Neustart oder Herunterfahren zwingen, beliebige Screenshots erstellen und Browserprozesse beenden.

Im Gegensatz zu vielen anderen Banking-Trojanern aus der Region Lateinamerika scheint sich Numando nicht in aktiver Entwicklung zu befinden. Die entdeckten Versionen und Beispiele zeigen einige kleinere Änderungen, die im Laufe der Zeit eingeführt wurden, aber es gab keine größeren Verbesserungen oder Ergänzungen.

Fernkonfiguration über YouTube-Videos

Das auffälligste Merkmal von Numando ist die Verwendung öffentlicher Plattformen wie YouTube, Pastebin und andere für die Fernkonfiguration. Die YouTube-Videos enthielten Informationen, die einem bestimmten Muster folgen, das von der Bedrohung erkannt wurde. Die Zeichenfolge beginnt mit 'DATA:{' gefolgt von drei durch ':' getrennten Einträgen vor einem abschließenden '}'-Zeichen. Nachdem Google von den infosec-Forschern benachrichtigt wurde, die die Bedrohung verfolgen, hat Google das Video entfernt, das an den schädlichen Kampagnen beteiligt war.