对银行木马——Numando的分析

admin 2021年9月24日12:00:18未分类评论94 views2507字阅读8分21秒阅读模式

对银行木马——Numando的分析

Numando是一个专门针对拉丁美洲银行进行攻击的木马。根据追踪分析,这个恶意软件家族背后的研发者至少自 2018 年以来就一直活跃在一线。尽管它不像 Mekotio 或 Grandoreiro 那样活跃,但自从研究人员开始跟踪它以来,就一直在攻击位于拉丁美洲的银行,例如使用看似无用的 ZIP 文件或将有效载荷与钓鱼 BMP 图像捆绑在一起。从地理分布上看,它几乎只专注于巴西的攻击目标,很少在墨西哥和西班牙开展活动。Mekotio是一类拉丁美洲的银行木马,主要针对巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙地区发动攻击。该恶意软件家族的最新变种具有一个显著的特点,就是使用SQL数据库作为C&C服务器。Grandoreiro也针对巴西、墨西哥、西班牙和秘鲁的受害者,自2017年以来,Grandoreiro一直活跃在巴西和秘鲁,并在2019年扩展到墨西哥和西班牙。Grandoreiro木马通常仅通过垃圾邮件的方式进行传播。

对银行木马——Numando的分析 Numando木马功能分析

与所有其他针对拉丁美洲的银行木马一样,Numando 也是用 Delphi 编写的,并利用虚假的弹出窗口从受害者那里引诱敏感信息。一些 Numando 变体将这些图像存储在其 .rsrc 部分内的加密 ZIP 文件中,而其他变体则使用单独的 Delphi DLL 来存储这些图像。

后门功能允许 Numando 模拟鼠标和键盘操作、重启和关闭设备、显示覆盖窗口、截取屏幕截图和终止浏览器进程。然而,与其他拉丁美洲银行木马不同的是,这些命令被定义为数字而不是字符串,这个恶意软件的命名似乎对我们有所启发。

对银行木马——Numando的分析

Numando 命令处理——命令 9321795 处理的一部分(红色)

字符串是由拉丁美洲银行木马中最常见的算法加密的,并且没有组织到字符串表中。Numando 收集受害设备的 Windows 版本和位数。

不过和之前介绍的大多数其他拉丁美洲银行木马不同,Numando 没有显示出持续发展和技术迭代的迹象。虽然不时会有一些细微的变化,但总体而言,二进制文件不会有太大变化。

对银行木马——Numando的分析 传播和恶意执行进程

Numando 几乎完全是由垃圾邮件传播,根据研究人员的追踪分析,它的活动最多影响数百名受害者,这种攻击效率使其成功率远低于最流行的拉丁美洲银行木马,如 Mekotio 和 Grandoreiro。最近的活动只是向每封垃圾邮件添加一个包含 MSI 安装程序的 ZIP 附件。此安装程序包含一个 CAB 文件,其中包含一个合法的应用程序、一个注入程序和一个加密的 Numando 银行木马 DLL。如果潜在的受害者执行 MSI,它最终也会运行合法的应用程序,并加载注入程序。注入程序定位有效载荷,然后使用带有多字节密钥的简单 XOR 算法对其进行解密,如下图所示。

对银行木马——Numando的分析

Numando MSI 及其在最新活动中传播的内容

对于Numando来说,有效载荷和注入程序的名称通常是相同的——带有 .dll 扩展名的注入程序和没有扩展名的有效载荷,这使得注入程序很容易找到加密的有效载荷。令人惊讶的是,注入程序不是用 Delphi 编写的,这在拉丁美洲银行木马中非常罕见。本文末尾的 IoC 包含我们观察到的 Numando 滥用的合法应用程序列表。

对银行木马——Numando的分析

用于执行 Numando 的文件,合法应用程序 (Cooperativa.exe)、注入程序 (Oleacc.dll)、加密载荷 (Oleacc) 和合法 DLL

对银行木马——Numando的分析 钓鱼 ZIP 和 BMP 覆盖

最近有一个有趣的传播链值得一提,该链以 Delphi 下载程序下载钓鱼 ZIP 文件开始。下载程序会忽略文件的内容并从 ZIP 文件注释中提取一个十六进制编码的加密字符串,这是一个存储在文件末尾的可选 ZIP 文件组件。下载程序不会解析 ZIP 结构,而是查找整个文件中的最后一个 { 字符用作标记。解密字符串会产生一个不同的 URL,该 URL 指向实际的有效载荷文件。

对银行木马——Numando的分析

钓鱼是一个有效的 ZIP 文件(ZIP 结构以绿色突出显示),在文件末尾的 ZIP 文件注释中包含一个加密 URL(红色)

第二个 ZIP 文件包含一个合法的应用程序、一个注入程序和一个可疑的大 BMP 图像。下载程序提取此文件的内容并执行合法应用程序,该应用程序会侧载注入程序,进而从 BMP 覆盖层中提取 Numando 银行木马并执行它。该过程如下图所示。

对银行木马——Numando的分析

使用钓鱼 ZIP 文件的 Numando 传播链

这个BMP文件是一个有效的图像,可以在大多数图像查看器和编辑器中打开而不会出现问题,因为叠加层会被简单地忽略。下图显示了 Numando 攻击者使用的一些钓鱼图像。

对银行木马——Numando的分析

Numando使用一些BMP图像作为诱饵来携带它的有效载荷

对银行木马——Numando的分析 远程配置

像许多其他拉丁美洲银行木马一样,Numando 滥用公共服务来存储其远程配置,在本文所讲的示例中是 YouTube 和 Pastebin。下图显示了存储在 YouTube 上的配置示例这是一种类似于Casbaneiro的技术,Casbaneiro是模仿了Spotify或Whatsapp之类的应用程序,以从用户那里收集银行和加密货币信息,谷歌根据 ESET 的通知迅速删除了这些视频。

对银行木马——Numando的分析

格式很简单,在 DATA:{ 和 } 标记之间由“:”分隔的三个条目。每个条目的加密方式与Numando中的其他字符串相同——密钥在二进制文件中硬编码。这使得在没有相应的二进制文件的情况下很难解密配置,但是Numando并不经常更改它的解密密钥,这使得解密成为可能。

对银行木马——Numando的分析 总结

Numando 是一种用 Delphi 编写的针对拉丁美洲的银行木马。它主要针对巴西、墨西哥和西班牙的用户发起攻击。它也使用虚假的覆盖窗口,包含后门功能并利用 MSI。

它是唯一一个用 Delphi 编写的使用非 Delphi 注入程序的 LATAM 银行木马,并且其远程配置格式是独一无二的。

参考及来源:https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/

对银行木马——Numando的分析

对银行木马——Numando的分析

相关推荐: 前沿 | 课程思政助力网安人才培养

扫码订阅《中国信息安全》杂志 权威刊物 重要平台 关键渠道 邮发代号 2-786 文│ 北京邮电大学 郭燕慧 徐国爱 王东滨 网络空间开放无界,斗争无形,既是技术的博弈,又是意志的比拼,更是对理想信念的考验。这对网络安全人才培养提出了更高更特殊的要求。开展网络…

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月24日12:00:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  对银行木马——Numando的分析 http://cn-sec.com/archives/553630.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: