首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

新型银行木马Numando针对拉丁美洲用户进行长期APT攻击

一个新型的银行木马程序 Numando 针对拉丁美洲用户进行广泛的传播,根据刀叉至少从2018年以来一直在进行持续的恶意活动。这个木马使用了一些新颖的技术,例如使用看似无用的 ZIP 文化部或将有效载荷与诱饵 BMP 图像捆绑在一起。从木马受害者的地理位置上看,它几乎完全专注于巴西,并在墨西哥和西班牙开展了罕见的恶意攻击活动。

根据网络安全行业门户极牛网JIKENB.COM的梳理,该恶意软件使用 Delphi 编程语言编写,带有一系列后门功能,可以控制受感染的机器、模拟鼠标和键盘操作、重新启动和关闭主机、显示覆盖窗口、捕获屏幕截图以及终止浏览器进程。Numando主要通过垃圾邮件进行传播,迄今为止已经诱捕了数百个受害者。

攻击始于嵌入了包含MSI 安装程序的 ZIP 附件的网络钓鱼消息,该附件又包括带有合法应用程序、注入器和加密的 Numando 银行木马 DLL 的文件柜存档。执行 MSI 会导致应用程序的执行,从而导致注入器模块被侧载并解密最后阶段的恶意软件负载。

在 ESET 观察到的另一个分发链中,恶意软件采用可疑性高但有效的 BMP 图像文件的形式,注入器从中提取并执行 Numando 银行木马。使该活动脱颖而出的是它使用 YouTube 视频标题和描述(现已删除)来存储远程配置,例如命令和控制服务器的 IP 地址。

根据网络安全行业门户极牛网JIKENB.COM的梳理,该木马使用虚假的覆盖窗口,包含后门功能,并利用 MSI 安装程序,它是唯一一个用 Delphi 编写的 LATAM 银行木马,它使用非 Delphi 注入器,并且其远程配置格式是独一无二的,因此在识别此恶意软件系列时有两个可靠的因素。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20210921A0A6KQ00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券