一个新型的银行木马程序 Numando 针对拉丁美洲用户进行广泛的传播,根据刀叉至少从2018年以来一直在进行持续的恶意活动。这个木马使用了一些新颖的技术,例如使用看似无用的 ZIP 文化部或将有效载荷与诱饵 BMP 图像捆绑在一起。从木马受害者的地理位置上看,它几乎完全专注于巴西,并在墨西哥和西班牙开展了罕见的恶意攻击活动。
根据网络安全行业门户极牛网JIKENB.COM的梳理,该恶意软件使用 Delphi 编程语言编写,带有一系列后门功能,可以控制受感染的机器、模拟鼠标和键盘操作、重新启动和关闭主机、显示覆盖窗口、捕获屏幕截图以及终止浏览器进程。Numando主要通过垃圾邮件进行传播,迄今为止已经诱捕了数百个受害者。
攻击始于嵌入了包含MSI 安装程序的 ZIP 附件的网络钓鱼消息,该附件又包括带有合法应用程序、注入器和加密的 Numando 银行木马 DLL 的文件柜存档。执行 MSI 会导致应用程序的执行,从而导致注入器模块被侧载并解密最后阶段的恶意软件负载。
在 ESET 观察到的另一个分发链中,恶意软件采用可疑性高但有效的 BMP 图像文件的形式,注入器从中提取并执行 Numando 银行木马。使该活动脱颖而出的是它使用 YouTube 视频标题和描述(现已删除)来存储远程配置,例如命令和控制服务器的 IP 地址。
根据网络安全行业门户极牛网JIKENB.COM的梳理,该木马使用虚假的覆盖窗口,包含后门功能,并利用 MSI 安装程序,它是唯一一个用 Delphi 编写的 LATAM 银行木马,它使用非 Delphi 注入器,并且其远程配置格式是独一无二的,因此在识别此恶意软件系列时有两个可靠的因素。
领取专属 10元无门槛券
私享最新 技术干货