ESET Research dissèque Numando : Un cheval de Troie bancaire qui détourne YouTube et cible le Brésil, le Mexique et l’Espagne
ESET Research poursuit sa série d’études des chevaux de Troie bancaires d’Amérique latine, en s’intéressant cette fois à Numando, qui cible principalement le Brésil, et plus rarement le Mexique et l’Espagne. Numando est similaire aux autres familles de malwares décrites dans cette série : utilisation de fausses fenêtres en superposition, fonctionnalités de porte dérobée et détournement de services tels que YouTube pour stocker sa configuration à distance. Mais contrairement à la plupart des autres chevaux de Troie bancaires d’Amérique latine, Numando ne montre aucun signe de poursuite de son développement.
L’auteur de cette famille de malwares est actif depuis au moins 2018. « Même si Numando est loin d’être aussi actif que d’autres chevaux de Troie tels que Mekotio ou Grandoreiro, il est constamment utilisé depuis que nous avons commencé à l’étudier, et apporte de nouvelles techniques intéressantes au pool des chevaux de Troie bancaires latino-américains, » déclare Jakub Souček, le coordinateur de l’équipe ESET qui a analysé Numando.
Ses fonctionnalités de porte dérobée lui permettent de simuler les actions de la souris et du clavier, de redémarrer et d’arrêter la machine, d’afficher des fenêtres de recouvrement, de faire des captures d’écran et de stopper les processus des navigateurs. Il utilise de fausses fenêtres venant se superposer aux applications pour soutirer des informations sensibles à ses victimes.
Parmi les nouvelles techniques utilisées, Numando a recours à des archives ZIP apparemment inutiles ou intègre du code malveillant à des images BMP d’une taille anormalement élevée. Ces fichiers BMP sont des images valides qui peuvent être ouvertes sans problème dans la majorité des lecteurs et éditeurs d’images. Numando est diffusé presque exclusivement par email de spam.
Comme de nombreux autres chevaux de Troie bancaires latino-américains, Numando détourne des services publics tels que YouTube et Pastebin pour stocker sa configuration à distance. Google a rapidement désactivé les comptes YouTube suite à la notification d’ESET.
Pour plus de détails techniques sur Numando, lisez l’article « Numando: Count once, code twice » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum