idNSA.id - Trojan perbankan yang baru ditemukan telah tertangkap memanfaatkan platform yang sah seperti YouTube dan Pastebin untuk menyimpan enkripsi, konfigurasi jarak jauh dan menyita sistem Windows yang terinfeksi, menjadikannya yang terbaru untuk bergabung dengan daftar panjang malware yang menjadi terget Amerika Latin (LATAM).
Pelaku ancaman ini termasuk keluarga malware — dijuluki " Numando " — diyakini telah aktif setidaknya sejak 2018.
"[Numando membawa] teknik baru yang menarik ke kumpulan trik trojan perbankan Amerika Latin, seperti menggunakan arsip ZIP yang tampaknya tidak berguna atau menggabungkan muatan dengan gambar BMP," dilansir blog peneliti ESET.
Ditulis menggunakan Delphi, malware hadir dengan serangkaian kemampuan melalui backdoor yang memungkinkannya untuk mengontrol mesin yang disusupi, mensimulasikan tindakan mouse dan keyboard, memulai ulang dan mematikan host, menampilkan overlay window, menangkap tangkapan layar, dan menghentikan proses browser.
Numando "hampir secara eksklusif" disebarkan melalui kampanye yang dilakukan dengan spam, menjerat beberapa ratus korban hingga saat ini, menurut data telemetri perusahaan keamanan siber.
Serangan dimulai dengan pesan phishing yang disematkan dengan lampiran ZIP yang berisi penginstal MSI , yang, pada gilirannya, mencakup arsip kabinet dengan aplikasi yang sah, injektor, dan trojan DLL perbankan Numando terenkripsi. Mengeksekusi MSI mengarah ke eksekusi aplikasi, menyebabkan modul injektor dimuat di samping dan mendekripsi muatan malware tahap akhir.
Dalam rantai distribusi alternatif yang diamati oleh ESET, malware mengambil bentuk file gambar BMP yang "sangat besar" tetapi valid, dari mana injektor mengekstrak dan mengeksekusi trojan perbankan Numando. Apa yang membuat kampanye ini menonjol adalah penggunaan judul dan deskripsi video YouTube — sekarang telah dihapus — untuk menyimpan konfigurasi jarak jauh seperti alamat IP server perintah-dan-kontrol. "
[Malware] menggunakan overlay window palsu, berisi fungsionalitas backdoor, dan menggunakan [pemasang] MSI," kata para peneliti. "Ini adalah satu-satunya trojan perbankan LATAM yang ditulis dalam Delphi yang menggunakan injektor non-Delphi dan format konfigurasi jarak jauhnya unik, menjadikan dua faktor yang dapat mengidentifikasi termasuk keluarga malware."
