对银行木马——Numando的分析

Numando是一个专门针对拉丁美洲银行进行攻击的木马。根据追踪分析，这个恶意软件家族背后的研发者至少自 2018 年以来就一直活跃在一线。尽管它不像 Mekotio 或 Grandoreiro 那样活跃，但自从研究人员开始跟踪它以来，就一直在攻击位于拉丁美洲的银行，例如使用看似无用的 ZIP 文件或将有效载荷与钓鱼 BMP 图像捆绑在一起。从地理分布上看，它几乎只专注于巴西的攻击目标，很少在墨西哥和西班牙开展活动。Mekotio是一类拉丁美洲的银行木马，主要针对巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙地区发动攻击。该恶意软件家族的最新变种具有一个显著的特点，就是使用SQL数据库作为C&C服务器。Grandoreiro也针对巴西、墨西哥、西班牙和秘鲁的受害者，自2017年以来，Grandoreiro一直活跃在巴西和秘鲁，并在2019年扩展到墨西哥和西班牙。Grandoreiro木马通常仅通过垃圾邮件的方式进行传播。

Numando木马功能分析

与所有其他针对拉丁美洲的银行木马一样，Numando 也是用 Delphi 编写的，并利用虚假的弹出窗口从受害者那里引诱敏感信息。一些 Numando 变体将这些图像存储在其 .rsrc 部分内的加密 ZIP 文件中，而其他变体则使用单独的 Delphi DLL 来存储这些图像。

后门功能允许 Numando 模拟鼠标和键盘操作、重启和关闭设备、显示覆盖窗口、截取屏幕截图和终止浏览器进程。然而，与其他拉丁美洲银行木马不同的是，这些命令被定义为数字而不是字符串，这个恶意软件的命名似乎对我们有所启发。

Numando 命令处理——命令 9321795 处理的一部分（红色）

字符串是由拉丁美洲银行木马中最常见的算法加密的，并且没有组织到字符串表中。Numando 收集受害设备的 Windows 版本和位数。

不过和之前介绍的大多数其他拉丁美洲银行木马不同，Numando 没有显示出持续发展和技术迭代的迹象。虽然不时会有一些细微的变化，但总体而言，二进制文件不会有太大变化。

传播和恶意执行进程

Numando 几乎完全是由垃圾邮件传播，根据研究人员的追踪分析，它的活动最多影响数百名受害者，这种攻击效率使其成功率远低于最流行的拉丁美洲银行木马，如 Mekotio 和 Grandoreiro。最近的活动只是向每封垃圾邮件添加一个包含 MSI 安装程序的 ZIP 附件。此安装程序包含一个 CAB 文件，其中包含一个合法的应用程序、一个注入程序和一个加密的 Numando 银行木马 DLL。如果潜在的受害者执行 MSI，它最终也会运行合法的应用程序，并加载注入程序。注入程序定位有效载荷，然后使用带有多字节密钥的简单 XOR 算法对其进行解密，如下图所示。

Numando MSI 及其在最新活动中传播的内容

对于Numando来说，有效载荷和注入程序的名称通常是相同的——带有 .dll 扩展名的注入程序和没有扩展名的有效载荷，这使得注入程序很容易找到加密的有效载荷。令人惊讶的是，注入程序不是用 Delphi 编写的，这在拉丁美洲银行木马中非常罕见。本文末尾的 IoC 包含我们观察到的 Numando 滥用的合法应用程序列表。

用于执行 Numando 的文件，合法应用程序 (Cooperativa.exe)、注入程序 (Oleacc.dll)、加密载荷 (Oleacc) 和合法 DLL

钓鱼 ZIP 和 BMP 覆盖

最近有一个有趣的传播链值得一提，该链以 Delphi 下载程序下载钓鱼 ZIP 文件开始。下载程序会忽略文件的内容并从 ZIP 文件注释中提取一个十六进制编码的加密字符串，这是一个存储在文件末尾的可选 ZIP 文件组件。下载程序不会解析 ZIP 结构，而是查找整个文件中的最后一个 { 字符用作标记。解密字符串会产生一个不同的 URL，该 URL 指向实际的有效载荷文件。

钓鱼是一个有效的 ZIP 文件（ZIP 结构以绿色突出显示），在文件末尾的 ZIP 文件注释中包含一个加密 URL（红色）

第二个 ZIP 文件包含一个合法的应用程序、一个注入程序和一个可疑的大 BMP 图像。下载程序提取此文件的内容并执行合法应用程序，该应用程序会侧载注入程序，进而从 BMP 覆盖层中提取 Numando 银行木马并执行它。该过程如下图所示。

使用钓鱼 ZIP 文件的 Numando 传播链

这个BMP文件是一个有效的图像，可以在大多数图像查看器和编辑器中打开而不会出现问题，因为叠加层会被简单地忽略。下图显示了 Numando 攻击者使用的一些钓鱼图像。

Numando使用一些BMP图像作为诱饵来携带它的有效载荷

远程配置

像许多其他拉丁美洲银行木马一样，Numando 滥用公共服务来存储其远程配置，在本文所讲的示例中是 YouTube 和 Pastebin。下图显示了存储在 YouTube 上的配置示例这是一种类似于Casbaneiro的技术，Casbaneiro是模仿了Spotify或Whatsapp之类的应用程序，以从用户那里收集银行和加密货币信息，谷歌根据 ESET 的通知迅速删除了这些视频。

格式很简单，在 DATA:{ 和 } 标记之间由“:”分隔的三个条目。每个条目的加密方式与Numando中的其他字符串相同——密钥在二进制文件中硬编码。这使得在没有相应的二进制文件的情况下很难解密配置，但是Numando并不经常更改它的解密密钥，这使得解密成为可能。

总结

Numando 是一种用 Delphi 编写的针对拉丁美洲的银行木马。它主要针对巴西、墨西哥和西班牙的用户发起攻击。它也使用虚假的覆盖窗口，包含后门功能并利用 MSI。

它是唯一一个用 Delphi 编写的使用非 Delphi 注入程序的 LATAM 银行木马，并且其远程配置格式是独一无二的。

参考及来源：https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/