Trojan perbankan telah terdeteksi menyalahgunakan YouTube, Pastebin, dan platform publik lainnya untuk menyebarkan dan mengontrol mesin yang compromised.
Jumat(17/9/2021), ESET menyelesaikan serangkaian Trojan perbankan yang ada di Amerika Latin — termasuk Janeleiro, sampel malware baru yang mirip dengan Casbaneiro, Grandoreiro, dan Mekotio — tetapi yang ini tidak hanya terjadi di wilayah itu; sebagai gantinya, kampanye telah terdeteksi di seluruh Brasil, Meksiko, dan Spanyol.
Dalam sebuah posting blog, para peneliti cybersecurity mengatakan bahwa Trojan bernama Numando telah aktif sejak 2018. Ditulis dalam Delphi, malware keuangan ini menampilkan jendela overlay palsu untuk menipu korban agar mengirimkan data sensitif, seperti kredensial yang digunakan untuk mengakses layanan keuangan. .
Numando tersebar hampir “eksklusif” melalui kampanye spam dan phishing.
Dalam kampanye baru-baru ini, spam yang dikirim untuk mendistribusikan Numando terdiri dari pesan phishing dan lampiran .ZIP yang disertakan dengan email.
File .ZIP umpan diunduh, bersama dengan file .ZIP aktual yang berisi arsip .CAB — dibundel dengan aplikasi perangkat lunak yang sah — injektor, dan Trojan. Malware disembunyikan dalam file gambar .BMP besar.
Jika aplikasi perangkat lunak dijalankan, injektor dimuat di samping dan malware kemudian didekripsi menggunakan algoritme XOR dan sebuah kunci.
Setelah diinstal pada mesin target, Numando akan membuat jendela overlay palsu saat korban mengunjungi layanan keuangan. Jika pengguna mengirimkan kredensial mereka, maka akan dicuri dan dikirim ke server command-and-control (C2) malware.
Numando juga menyalahgunakan layanan publik termasuk Pastebin dan YouTube untuk mengelola pengaturan konfigurasi jarak jauhnya.
“Formatnya sederhana — tiga entri dibatasi oleh “:” di antara penanda DATA:{ dan },” jelas ESET. “Setiap entri dienkripsi secara terpisah dengan cara yang sama seperti string lain di Numando — dengan kunci yang di-hardcode dalam biner. Hal ini membuat sulit untuk mendekripsi konfigurasi tanpa memiliki biner yang sesuai, namun Numando tidak terlalu sering mengubah kunci dekripsi, membuat dekripsi menjadi mungkin.”
Google sudah diberitahu dan video yang terdeteksi telah dihapus.
Numando mampu mensimulasikan klik mouse dan keyboard, membajak fungsi shutdown dan restart PC, mengambil screenshot, dan mematikan proses browser.
“Tidak seperti kebanyakan trojan perbankan Amerika Latin lainnya yang tercakup dalam seri ini, Numando tidak menunjukkan tanda-tanda perkembangan berkelanjutan,” kata ESET. “Ada beberapa perubahan kecil dari waktu ke waktu, tetapi secara keseluruhan binari tidak cenderung banyak berubah.”
sumber: ZDNET