新型银行木马Numando针对拉丁美洲用户进行长期APT攻击

新型银行木马Numando针对拉丁美洲用户进行长期APT攻击

一个新型的银行木马程序 Numando 针对拉丁美洲用户进行广泛的传播,根据刀叉至少从2018年以来一直在进行持续的恶意活动。这个木马使用了一些新颖的技术,例如使用看似无用的 ZIP 文化部或将有效载荷与诱饵 BMP 图像捆绑在一起。从木马受害者的地理位置上看,它几乎完全专注于巴西,并在墨西哥和西班牙开展了罕见的恶意攻击活动。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,该恶意软件使用 Delphi 编程语言编写,带有一系列后门功能,可以控制受感染的机器、模拟鼠标和键盘操作、重新启动和关闭主机、显示覆盖窗口、捕获屏幕截图以及终止浏览器进程。Numando主要通过垃圾邮件进行传播,迄今为止已经诱捕了数百个受害者。

numando:一个新的银行木制特洛伊木马,针对拉丁美洲用户

攻击始于嵌入了包含MSI 安装程序的 ZIP 附件的网络钓鱼消息,该附件又包括带有合法应用程序、注入器和加密的 Numando 银行木马 DLL 的文件柜存档。执行 MSI 会导致应用程序的执行,从而导致注入器模块被侧载并解密最后阶段的恶意软件负载。

在 ESET 观察到的另一个分发链中,恶意软件采用可疑性高但有效的 BMP 图像文件的形式,注入器从中提取并执行 Numando 银行木马。使该活动脱颖而出的是它使用 YouTube 视频标题和描述(现已删除)来存储远程配置,例如命令和控制服务器的 IP 地址。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,该木马使用虚假的覆盖窗口,包含后门功能,并利用 MSI 安装程序,它是唯一一个用 Delphi 编写的 LATAM 银行木马,它使用非 Delphi 注入器,并且其远程配置格式是独一无二的,因此在识别此恶意软件系列时有两个可靠的因素。

 

新型银行木马Numando针对拉丁美洲用户进行长期APT攻击

极牛网精选文章《新型银行木马Numando针对拉丁美洲用户进行长期APT攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16365.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
0x01的头像0x01认证作者
上一篇 2021年9月19日 上午9:06
下一篇 2021年9月19日 下午6:36

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部