Numando, un nuevo troyano bancario latinoaméricano que pone sus ojos en España
- Endpoint
El troyano bancario hace un uso indebido de servicios públicos como YouTube para almacenar su configuración remota. Sus capacidades de puerta trasera le permiten simular las acciones del ratón y del teclado, reiniciar y apagar el ordenador y tomar capturas de pantalla, entre otras acciones.
|
Recomendados: Atención pública al ciudadano: hacia una relación de 360 grados Evento Identificación de ataques web Leer |
Un nuevo troyano bancario latinoamericano salta a la palestra. Se trata de Numando, una amenaza que se dirige principalmente a Brasil y en menor medida a México y España. Según ESET Research, el troyano se comporta de manera similar a otros troyanos bancarios, incluido el uso de ventanas de navegador superpuestas fraudulentas, funcionalidad de puerta trasera y utilización de servicios públicos como YouTube para almacenar su configuración remota. Sin embargo, Numando no muestra signos de desarrollo continuo, y el actor de amenazas detrás de esta familia de malware ha estado activo desde 2018 por lo menos.
“Aunque Numando no esté tan activo como otros troyanos como Mekotio o Grandoreiro, el malware ha sido utilizado constantemente desde que empezamos a rastrearlo, aportando nuevas e interesantes técnicas al conjunto de trucos de los troyanos bancarios latinoamericanos”, declara Jakub Souček, coordinador del equipo de ESET que ha analizado Numando.
Las capacidades de puerta trasera de Numando le permiten simular las acciones del ratón y del teclado, reiniciar y apagar el ordenador, mostrar ventanas superpuestas, tomar capturas de pantalla y eliminar los procesos del navegador. Además, utiliza falsas ventanas superpuestas para atraer información sensible de sus víctimas.
Entre las nuevas técnicas, Numando utiliza archivos ZIP aparentemente inútiles o agrupa cargas útiles maliciosas con imágenes BMP sospechosamente grandes usadas como señuelo. Estos archivos BMP son imágenes válidas que pueden abrirse en la mayoría de los visualizadores y editores de imágenes sin problemas. Numando se distribuye casi exclusivamente por spam.
Como muchos otros troyanos bancarios latinoamericanos, Numando utiliza algunos servicios online para almacenar su configuración remota, en este caso YouTube y Pastebin. Google retiró los vídeos de YouTube rápidamente tras recibir la notificación de ESET.
