ESET Research analiza Numando, el nuevo troyano bancario dirigido a España, Brasil y México

ESET Research continúa su serie sobre troyanos bancarios latinoamericanos y esta vez disecciona Numando, una amenaza que se dirige principalmente a Brasil y en menor medida a México y España. Numando es similar a las otras familias de malware descritas en esta serie en su uso de ventanas de navegador superpuestas fraudulentas, funcionalidad de puerta trasera y utilización de servicios públicos como YouTube para almacenar su configuración remota. Sin embargo, a diferencia de la mayoría de los otros troyanos bancarios latinoamericanos, Numando no muestra signos de desarrollo continuo.

Según el reciente estudio de ESET Research, el actor de la amenaza detrás de esta familia de malware ha estado activo desde 2018 por lo menos. “Aunque Numando no esté tan activo como otros troyanos como Mekotio o Grandoreiro, el malware ha sido utilizado constantemente desde que empezamos a rastrearlo, aportando nuevas e interesantes técnicas al conjunto de trucos de los troyanos bancarios latinoamericanos”, declara Jakub Souček, coordinador del equipo de ESET que ha analizado Numando.

Las capacidades de puerta trasera de Numando le permiten simular las acciones del ratón y del teclado, reiniciar y apagar el ordenador, mostrar ventanas superpuestas, tomar capturas de pantalla y eliminar los procesos del navegador. Además, utiliza falsas ventanas superpuestas para atraer información sensible de sus víctimas.

Entre las nuevas técnicas, Numando utiliza archivos ZIP aparentemente inútiles o agrupa cargas útiles maliciosas con imágenes BMP sospechosamente grandes usadas como señuelo. Estos archivos BMP son imágenes válidas que pueden abrirse en la mayoría de los visualizadores y editores de imágenes sin problemas. Numando se distribuye casi exclusivamente por spam.

Como muchos otros troyanos bancarios latinoamericanos, Numando utiliza algunos servicios online para almacenar su configuración remota, en este caso YouTube y Pastebin. Google retiró los vídeos de YouTube rápidamente tras recibir la notificación de ESET.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .