Nuevo troyano bancario abusa de plataformas como YouTube

Se detectó un nuevo troyano bancario denominado »Numando», que explota plataformas públicas, como YouTube y Pastebin. Se cree que el troyano, escrito en lenguaje Delphi, está activo desde 2018.

Según investigadores, Numando es un malware financiero que creó un efecto de superposición para engañar a las víctimas, hasta el momento en México y España.

Después de instalarse en la máquina de destino, activa ventanas superpuestas falsas para recopilar información confidencial y credenciales financieras de las víctimas.

El malware, abusa de los servicios de Pastebin y YouTube para administrar sus ajustes de configuración remota en un formato muy simple, donde se agregan tres entradas con «:» como separador entre los marcadores DATA: {y}.

Cada entrada se cifra por separado con la clave codificada en el binario, lo que dificulta descifrar la configuración. Puede simular clics del mouse, acciones del teclado, secuestrar las funciones de apagado / reinicio del PC, eliminar los procesos del navegador y tomar capturas de pantalla. El malware no muestra signos de desarrollo continuo.

En campañas recientes, se enviaban mensajes de phishing y archivos adjuntos ZIP a los usuarios en los que se descargaba un archivo ZIP señuelo junto con un archivo ZIP real.

Este archivo tiene un archivo CAB con una aplicación de software válida, un inyector y el troyano. El troyano se almacena dentro de un gran archivo de imagen BMP.

El inyector se carga lateralmente después de que se ejecuta la aplicación de software. Luego, el troyano se descifra mediante un algoritmo y una clave XOR.

Los ataques no son tan sofisticados, lo que limita el éxito del troyano en comparación con sus contemporáneos, como Mekotio y Grandoreiro.

Numando se dirige principalmente a Brasil con pocas campañas dirigidas a México y España, aunque puede expandirse. La tasa de infección es baja en este momento, sin embargo, eso podría cambiar rápidamente con nuevas tácticas de ataque.