Un troyano abusa de YouTube para propagar y piratear usuarios de Windows
Los investigadores de ESET han detectado recientemente un troyano bancario latinoamericano llamado Numando y está apuntando a Brasil, algunas áreas de México y España.
El troyano bancario Numando es comparable a las otras familias de malware que se describen en la serie de troyanos latinoamericanos.
Este troyano generalmente utiliza superposiciones de navegador maliciosas, funcionalidad de puerta trasera y administración de servicios públicos como YouTube para recopilar su configuración remota.
Sin embargo, a diferencia de los diferentes troyanos bancarios latinoamericanos, Numando no muestra signos de mejora continua. El punto más importante es que Numando no es tan activo como otros troyanos como Mekotio o Grandoreiro .
Al finalizar la investigación, los analistas de seguridad notaron que Numando está escrito en Delphi y usa ventanas superpuestas falsas, con el motivo de camuflar los datos confidenciales de sus víctimas.
Aparte de todo esto, en este troyano, las capacidades de la puerta trasera permiten a Numando copiar las acciones del mouse y el teclado y luego reiniciar y apagar la máquina, mostrar ventanas superpuestas, para que pueda tomar una captura de pantalla y eliminar los métodos del navegador.
Más importante aún, en Numando los comandos están bastante definidos como números en lugar de cadenas, y esto ayudó a los expertos a dar el nombre del troyano.
Entrega y ejecución
Numando se distribuye completamente por correo no deseado, pero esta campaña ha afectado a cientos de víctimas, y es por eso que la hace considerablemente menos próspera que otros troyanos bancarios de LATAM muy extendidos, como Mekotio y Grandoreiro.
Mientras que las campañas recientes han agregado un archivo adjunto ZIP que incluye un instalador MSI en cada mensaje de spam. Y aquí el punto notable es que el instalador incluye un archivo con una aplicación legítima, un inyector y un DLL troyano bancario Numando cifrado.
Configuración remota
Entonces, al igual que muchos otros troyanos bancarios latinoamericanos, Numando también viola los servicios públicos con el motivo de recolectar su configuración remota como YouTube y Pastebin.
Es por eso que todo el formato de este troyano no es tan difícil, ya que tiene tres entradas delimitadas por “:” entre los marcadores DATA: {y}. Y todas y cada una de las entradas se cifran individualmente, y también tienen claves que se codificaron en el binario.