top of page
Foto do escritorInternational IT

Numando: Novo Cavalo de Troia bancário ataca usuários brasileiros

Atualizado: 6 de dez. de 2023

Um cavalo de Troia (trojan) bancário recém-descoberto está utilizando plataformas legítimas como YouTube e Pastebin para armazenar configurações remotas criptografadas de sistemas Windows infectados.




O Numando se soma à longa lista de malwares direcionados à América Latina como Guildma, Javali, Melcoz, Grandoreiro, Mekotio, Casbaneiro, Amavaldo, Vadokrist e Janeleiro.


Pesquisadores da ESET publicaram uma análise técnica em que afirmam:

O Numando tem sido utilizado constantemente desde que começamos a rastreá-lo, trazendo novas técnicas interessantes para o conjunto de truques que destacamos sobre o grupo de trojans bancários latino-americanos, como o uso de arquivos ZIP aparentemente inúteis ou o carregamento de payloads junto com imagens em formato BMP utilizadas como isca. Geograficamente, o Numando está focado quase que exclusivamente no Brasil, apesar da circulação de algumas campanhas no México e na Espanha.

Escrito em Delphi, o malware vem com uma série de recursos de backdoor que permitem controlar as máquinas comprometidas, simular ações do mouse e do teclado, reiniciar e desligar o host, exibir janelas de sobreposição, capturar imagens e encerrar processos do navegador. O Numando normalmente é propagado por campanhas de spam, atingindo centenas de vítimas até o momento, de acordo com dados da empresa de segurança cibernética.


Numando MSI e o conteúdo distribuído nos últimos ataques
Numando MSI e o conteúdo distribuído nos últimos ataques. - Fonte ESEC


Em uma cadeia de distribuição alternativa observada pela ESET, o malware assume a forma de um arquivo de imagem BMP "suspeitamente grande", mas válido, e o injetor extrai e executa o cavalo de Troia (trojan) Numando . Os pesquisadores concluem:


[O malware] usa pop-up falsos, conta com funcionalidades de backdoor e usa arquivos MSI.
É o único trojan bancário escrito em Delphi que usa um injetor não Delphi e seu formato de configuração remota é único, constituindo dois fatores confiáveis ao identificar esta família de malware.
 


Posts recentes

Ver tudo

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page