Numando olarak bilinen yeni tür bankacılık truva atı, hedefi olan kurbanlarının bütün kimlik bilgilerine ulaşabiliyor. Virüs yayılmak için kamu platformlarını kullanıyor.
ESET araştırmacıları, yayılmak için YouTube, Pastebin ve diğer kamu platformlarını C2 altyapısı olarak kötüye kullanan, Numando olarak bilinen yeni bir bankacılık truva atı virüsü tespit etti.
Bu virüsün ardındaki tehdit en az 2018’den bu yana aktif ve neredeyse sadece Brezilya’ya odaklanıyor; ancak uzmanlar nadir de olsa Meksika ve İspanya’daki kullanıcılara yönelik saldırılar olduğuna da dikkat çekiyor. Diğer Latin Amerika bankacılık truva atlarında olduğu gibi, bu yeni tür de Delphi’de yazılmış ve hassas bilgileri ele geçirmek için sahte pencereler aracılığıyla kurbanları kandırma prensibine dayanıyor.
Virüs, kurbanların kimlik bilgilerini hedef alıyor
ESET’in yayınladığı analizde, “Bazı Numando türevleri bu görüntüleri .rsrc bölümlerinde şifreli bir ZIP arşivinde saklarken, diğerleri sadece bu depolamaya özel ayrı bir Delphi DLL kullanıyor. Arka çıkış yetenekleri, Numando’nun fare ve klavye eylemlerini simüle etmesine, makineyi yeniden başlatmasına ve tarayıcı işlemelerini sonlandırmasına olanak tanıyor. “ ve “Ancak diğer Latin Amerika bankacılık truvalarının aksine, aynı zamanda bu kötü amaçlı yazılım ailesini adlandırmamıza da ilham veren şey olan, komutlar dizeler yerine sayılar olarak tanımlanıyor. “ ifadelerine yer verdi.
Uzmanlar, analiz ettikleri diğer Latin Amerika bankacılık truva atlarından farklı olarak Numando’nun gelişme aşamasında olmadığını fark etti.
Neredeyse sadece kötü amaçlı spam kampanyaları tarafından dağıtılan Numando, son saldırılarında MSI yükleyici içeren bir ZIP eki kullanan mesajlar kullandı. Yükleyici; meşru bir uygulama, bir enjektör ve şifreli bir Numando bankacılık truva DLL'si içeren bir CAB arşivi içeriyor. MSI’ın çalıştırılmasıyla, yasal uygulama ve yükü yükleyerek şifreyi çözen enjektör de aktive edilmiş oluyor. Numando hedef cihaza bir kez kurulduğunda, kurban bir finans kuruluşunun sitesini her ziyaret ettiğinde kimlik bilgilerini yakalayan sahte pencereler oluşmasına sebep olur.
Kamu hizmetlerinden faydalanıyor
Buna ek olarak uzmanlar, bir Deplhi indiricisinin bir tuzak ZIP arşivini indirmesiyle başlayan son saldırılarda kullanılan başka bir dağıtım zincirini de ortaya çıkardı. İndirici, ZIP arşivinin içeriğini yok sayarak dosyanın sonundaki ZIP dosyası yorumundan kodlanmış şifreli 16’lık bir dize çıkarıyor ve bu dizenin çözülmesi de, gerçek yük arşivine giden farklı bir URL ile sonuçlanıyor.
Raporda, “İkinci ZIP arşivi meşru bir uygulama, bir enjektör ve şüpheli derecede büyük bir BMP görüntüsü içeriyor. İndirici, bu arşivin içeriğini çıkarıp bir yandan enjektörü yükleyen meşru uygulamayı çalıştırdığında, Numando bankacılık truva virüsü de BMP kaplamasında çıkar ve çalışmaya başlar. “ ve “Bu BMP dosyası geçerli bir resim ve üst üste bindirme basitçe göz ardı edildiğinden, görüntüleyenlerin ve editörlerin çoğunda sorunsuz bir şekilde açılabilir, “ ifadeleri de geçiyor.
Numando, Casbaneiro gibi diğer kötü amaçlı yazılımlar tarafından kullanılan bir teknik olan uzak yapılandırma için Pastebin ve YouTube gibi kamu hizmetlerinden yararlanıyor.
Numando ayrıca fare tıklamalarını ve klavye eylemlerini simüle edip PC kapatma ve yeniden başlatma işlevlerini ele geçirebilir, ekran görüntüleri alabilir ve tarayıcı işlemlerini sonlandırabilir.