Numando se propaga "casi exclusivamente" a través de campañas de spam

Geográficamente, se centra casi exclusivamente en Brasil con raras campañas en México y España

Un troyano bancario recién descubierto ha sido localizado aprovechando plataformas legítimas como YouTube y Pastebin para almacenar su configuración remota encriptada y apoderarse de sistemas Windows infectados, convirtiéndolo en el último en unirse a la larga lista de malware dirigido a América Latina (LATAM) después de Guildma, Javali, Melcoz, Grandoreiro, Mekotio, Casbaneiro, Amavaldo, Vadokrist y Janeleiro.

Se cree que el actor de amenazas detrás de esta familia de malware, denominado "Numando", ha estado activo desde al menos 2018.

"Numando aporta nuevas técnicas interesantes al conjunto de trucos de los troyanos bancarios latinoamericanos, como usar archivos ZIP aparentemente inútiles o agrupar cargas útiles con imágenes BMP señuelo", dijeron los investigadores de ESET en un análisis técnico publicado el viernes. "Geográficamente, se centra casi exclusivamente en Brasil con raras campañas en México y España".

Escrito en Delphi, el malware viene con una variedad de capacidades de puerta trasera que le permiten controlar las máquinas comprometidas, simular acciones del mouse y del teclado, reiniciar y apagar el host, mostrar ventanas superpuestas, realizar capturas de pantalla y terminar los procesos del navegador. Numando se propaga "casi exclusivamente" a través de campañas de spam, atrapando a varios cientos de víctimas hasta la fecha, según los datos de telemetría de la firma de ciberseguridad.

instalador MSI

Los ataques comienzan con un mensaje de phishing que viene incrustado con un archivo adjunto ZIP que contiene un instalador MSI que, a su vez, incluye un archivo de gabinete con una aplicación legítima, un inyector y una DLL troyana bancaria Numando cifrada. La ejecución de MSI conduce a la ejecución de la aplicación, lo que hace que el módulo del inyector se cargue lateralmente y descifre la carga útil del malware de la etapa final.

En una cadena de distribución alternativa observada por ESET, el malware toma la forma de un archivo de imagen BMP "sospechosamente grande" pero válido, del cual el inyector extrae y ejecuta el troyano bancario Numando. Lo que hace que la campaña se destaque es el uso de títulos y descripciones de vídeos de YouTube, ahora eliminados, para almacenar la configuración remota, como la dirección IP del servidor de comando y control.

"El malware usa ventanas superpuestas falsas, contiene funcionalidad de puerta trasera y utiliza MSI [instalador]", dijeron los investigadores. "Es el único troyano bancario de LATAM escrito en Delphi que usa un inyector que no es Delphi y su formato de configuración remota es único, lo que hace que sean dos factores confiables a la hora de identificar esta familia de malware".