Numando: Novo Cavalo de Troia bancário ataca usuários brasileiros

Um cavalo de Troia (trojan) bancário recém-descoberto está utilizando plataformas legítimas como YouTube e Pastebin para armazenar configurações remotas criptografadas de sistemas Windows infectados.



VEJA TAMBÉM: Brasil discute criação de Estratégia Nacional de Combate ao Crime Cibernético


O Numando se soma à longa lista de malwares direcionados à América Latina como Guildma, Javali, Melcoz, Grandoreiro, Mekotio, Casbaneiro, Amavaldo, Vadokrist e Janeleiro.


Pesquisadores da ESET publicaram uma análise técnica em que afirmam:

O Numando tem sido utilizado constantemente desde que começamos a rastreá-lo, trazendo novas técnicas interessantes para o conjunto de truques que destacamos sobre o grupo de trojans bancários latino-americanos, como o uso de arquivos ZIP aparentemente inúteis ou o carregamento de payloads junto com imagens em formato BMP utilizadas como isca. Geograficamente, o Numando está focado quase que exclusivamente no Brasil, apesar da circulação de algumas campanhas no México e na Espanha.

Escrito em Delphi, o malware vem com uma série de recursos de backdoor que permitem controlar as máquinas comprometidas, simular ações do mouse e do teclado, reiniciar e desligar o host, exibir janelas de sobreposição, capturar imagens e encerrar processos do navegador. O Numando normalmente é propagado por campanhas de spam, atingindo centenas de vítimas até o momento, de acordo com dados da empresa de segurança cibernética.


Numando MSI e o conteúdo distribuído nos últimos ataques
Numando MSI e o conteúdo distribuído nos últimos ataques. - Fonte ESEC

VEJA TAMBÉM: Ransomware: Ataques aumentaram 92% no Brasil desde o início de 2021


Em uma cadeia de distribuição alternativa observada pela ESET, o malware assume a forma de um arquivo de imagem BMP "suspeitamente grande", mas válido, e o injetor extrai e executa o cavalo de Troia (trojan) Numando . Os pesquisadores concluem:


[O malware] usa pop-up falsos, conta com funcionalidades de backdoor e usa arquivos MSI.
É o único trojan bancário escrito em Delphi que usa um injetor não Delphi e seu formato de configuração remota é único, constituindo dois fatores confiáveis ao identificar esta família de malware.

Fonte: The Hacker News e We Live Security

 

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

290 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos