A ESET, empresa líder em detecção proativa de ameaças, detectou um novo trojan bancário direcionado à América Latina que merece um pouco mais de atenção: o Numando, que está ativo desde pelo menos 2018.A ameaça tem sido utilizada constantemente desde que os pesquisadores da ESET começaram a rastreá-la, trazendo novas técnicas interessantes para o conjunto de truques que destacamos sobre o grupo de trojans bancários latino-americanos, como o uso de arquivos ZIP aparentemente inúteis ou o carregamento de payloads junto com imagens em formato BMP utilizadas como isca. Geograficamente, o Numando está focado quase exclusivamente no Brasil, apesar da circulação de algumas campanhas no México e na Espanha.

Assim como os outros trojans bancários latino-americanos descritos na série produzida pelos pesquisadores da ESET, o Numando é escrito em Delphi e usa sobreposições falsas para roubar informações confidenciais de suas vítimas. Algumas variantes do Numando armazenam essas imagens em um arquivo ZIP criptografado em suas seções .rsrc, enquanto outras usam uma DLL em Delphi separada apenas para esse armazenamento.

As capacidades de backdoor do Numando fazem com que seja possível simular ações do mouse e do teclado, reiniciar e desligar o computador, exibir janelas sobrepostas, produzir capturas de tela e eliminar processos do navegador.

As campanhas recentes simplesmente adicionam um anexo ZIP contendo um instalador MSI para cada e-mail de spam. Esse instalador contém um arquivo CAB com um aplicativo legítimo, um injetor e uma DLL criptografada do trojan bancário Numando. Caso a vítima execute o MSI, a ameaça eventualmente também executará o aplicativo legítimo, o que faz com que o injetor seja carregado. O injetor localiza o payload e, em seguida, o descriptografa usando um algoritmo XOR simples com uma chave multibyte.

MSI do Numando e os conteúdos distribuídos nas últimas campanhas

O Numando é distribuído quase que exclusivamente por phishing, mensagens em massa fingindo ser do banco ou empresas de cobrança. No caso de recebimento de anexos por e-mail, principalmente em formato ZIP, é fundamental analisar com atenção se a mensagem parece verídica. Nesses casos, atentar-se aos detalhes é de extrema importância para saber logo de cara se o e-mail se trata de algo verídico. Pontos como endereço de e-mail, erros ortográficos e mensagens genéricas de urgência são detalhes que os cibercriminosos costumam usar com frequência.

Cadeia de distribuição do Numando utilizando um arquivo ZIP como isca

“É importante também conscientizar as pessoas ao redor para que esses tipos de ataque não sejam tão efetivos, quanto mais os usuários estiverem atentos e informados sobre como essas fraudes funcionam, mais difícil será o trabalho dos criminosos", comenta Daniel Barbosa, especialista em segurança da informação da ESET.

Para saber mais sobre o Numando, e outras informações sobre segurança de informação, acesse: https://www.welivesecurity.com/br/2021/09/20/numando-trojan-tenta-roubar-dados-bancarios-e-afeta-principalmente-o-brasil/

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo.