Cada vez os utilizadores utilizam mais os seus computadores e smartphonesAMP para as operações bancárias. Pagamentos, transferências, consultas de saldo e carregamentos, são operações do dia a dia e é esse tipo de alvo que o malwareAMP Numando quer atacar.
Segundo a empresa de segurançaAMP ESET, este trojan bancário afeta principalmente o Brasil, mas também outros países de língua portuguesa e espanhola, incluindo PortugalAMP.
O Numando é semelhante a outras famílias de malwareAMP do mesmo género, que recorrem a janelas falsas, funcionalidade de backdoor e abuso de serviços públicos como o YouTube para armazenar a sua configuração remota.
Os cibercriminosos por detrás desta família de malwareAMP estão ativos desde pelo menos 2018.
Embora o Numando não esteja ao nível de atividade de outros trojans como o Mekotio ou Grandoreiro, tem sido consistentemente utilizado desde que o começámos a monitorizar, trazendo novas e interessantes técnicas ao conjunto de truques dos trojan bancários cujos alvos são países de língua portuguesa e espanhola.
Disse Jakub Souček, coordenador da equipa ESET que analisou o Numando.
As capacidades de backdoor do Numando permitem-lhe simular ações do rato e tecladoAMP, reiniciar e desligar a máquina infetada, exibir janelas falsas, tirar capturas de ecrãAMP e fechar processos do browserAMP. O malwareAMP recorre a janelas falsas para roubar dados sensíveis das suas vítimas.
No que toca a técnicas novas, o Numando usa ficheiros ZIP aparentemente inúteis ou imagens BMP anormalmente grandes que estão armazenadas num ZIP criptografado dentro das suas secções .rsrc para esconder a carga maliciosa. Estes ficheiros BMP parecem ser legítimos à primeira vista, e as imagens até podem ser abertas num visualizador sem apresentar erros.
Este tipo de malwareAMP, como o Numando, é distribuído quase exclusivamente por spam. Assim, sempre que desconfiar que algum email não lhe é familiar, das suas relações sociais ou profissionais, mantenha o alerta para estes indícios.
Como muitos outros trojans bancários do seu tipo, o Numando aproveita-se de serviços públicos para armazenar a sua configuração remota, YouTube e Pastebin neste caso. A Google removeu os vídeos do YouTube em questão com base no alerta da ESET.
Portanto, Numando é um trojan bancário latino-americano escrito em Delphi. Ele tem como alvo principalmente o Brasil, PortugalAMP, Espanha e outros países de língua espanhola.
Conforme já foi referido, e para sintetizar, este malwareAMP é semelhante às outras famílias descritas do mesmo naipe – usa janelas de sobreposição falsa, contém funcionalidade backdoor e utiliza MSI.
Fonte: pplware.sapo.pt