bienvenido a t-cert
Antes de dar cierre a nuestra serie hay un troyano bancario LATAM que merece una mirada más detallada: Numando. El actor de amenazas detrás de esta familia de malware ha estado activo desde al menos 2018. Aunque no es tan dinámico como Mekotio o Grandoreiro, Numando ha sido utilizado de manera constante desde que comenzamos a rastrearlo, aportando nuevas e interesantes técnicas al conjunto de trucos que hemos descrito sobre el grupo de troyanos bancarios latinoamericanos, como el uso de archivos ZIP aparentemente inútiles o la carga de payloads junto a imágenes en formato BMP utilizadas como señuelo. Geográficamente, se centra casi exclusivamente en Brasil, más allá de algunas campañas en México y España.
Al igual que los demás troyanos bancarios latinoamericanos descritos en esta serie, Numando está escrito en Delphi y utiliza falsas ventanas superpuestas para sustraer información confidencial de sus víctimas. Algunas variantes de Numando almacenan estas imágenes en un archivo ZIP cifrado dentro de sus secciones .rsrc, mientras que otras utilizan una DLL en Delphi aparte solo para este almacenamiento.
Las capacidades de backdoor de Numando le permiten simular acciones del mouse y del teclado, reiniciar y apagar la máquina, mostrar ventanas superpuestas, tomar capturas de pantalla y eliminar los procesos del navegador. Sin embargo, a diferencia de otros troyanos bancarios latinoamericanos, los comandos se definen como números en lugar de strings, lo que inspiró la forma en que decidimos nombrar a esta familia de malware.
Las strings están cifradas por el algoritmo más común entre los troyanos bancarios latinoamericanos (que se muestra en la Figura 5 de nuestro artículo de Casbaneiro) y no están organizadas en una tabla de strings. Numando recopila la versión de Windows y el número de bits de la máquina comprometida.
A diferencia de la mayoría de los otros troyanos bancarios latinoamericanos que hemos analizado en esta serie, Numando no muestra signos de un desarrollo continuo. Se producen algunos cambios menores de vez en cuando, pero en general los binarios no tienden a cambiar mucho.
Numando se distribuye casi exclusivamente a través de malspam. De acuerdo con nuestra telemetría, sus campañas afectan como máximo a algunos cientos de víctimas, lo que las hace considerablemente menos exitosas que las campañas de los troyanos bancarios latinoamericanos más prevalentes, como Mekotio y Grandoreiro. Las campañas recientes simplemente agregan en cada correo de spam un archivo adjunto ZIP que contiene un instalador MSI. Este instalador contiene un archivo CAB con una aplicación legítima, un injector y una DLL cifrada del troyano bancario Numando. Si la potencial víctima ejecuta el MSI, eventualmente también ejecuta la aplicación legítima, y eso carga lateralmente el injector. El injector localiza el payload y luego lo descifra utilizando un algoritmo XOR simple con una clave de múltiples bytes.
Para Numando, el payload y el injector generalmente se nombran de manera idéntica: el injector con la extensión .dll y el payload sin extensión (consulte la Figura 3), lo que facilita que el injector localice el payload cifrado. Sorprendentemente, el injector no está escrito en Delphi, algo muy raro entre los troyanos bancarios latinoamericanos. Los IoC al final de esta publicación contienen una lista de aplicaciones legítimas que hemos observado siendo abusadas por Numando.
Hay una interesante cadena de distribución que observamos en el pasado reciente que vale la pena mencionar. Esta cadena comienza con un downloader en Delphi que descarga un archivo ZIP utilizado como señuelo. El downloader ignora el contenido del archivo y extrae del comentario del archivo ZIP una string cifrada en hexadecimal, un componente opcional del archivo ZIP almacenado al final del archivo. El downloader no analiza la estructura ZIP, sino que busca el último carácter { (utilizado como marcador) en todo el archivo. Descifrar la string da como resultado una URL diferente que conduce al archivo del payload.
El segundo archivo ZIP contiene una aplicación legítima, un injector y una imagen BMP sospechosamente grande. El downloader extrae el contenido de este archivo y ejecuta la aplicación legítima, que carga lateralmente el inyector que, a su vez, extrae el troyano bancario Numando de la imagen BMP superpuesta y lo ejecuta.
Al igual que muchos otros troyanos bancarios latinoamericanos, Numando abusa de servicios públicos para almacenar su configuración remota: YouTube y Pastebin en este caso. La Figura 7 muestra un ejemplo de la configuración almacenada en YouTube, una técnica similar a Casbaneiro, aunque mucho menos engañosa. Google eliminó los videos rápidamente luego del reporte de ESET.
El formato es simple: tres entradas delimitadas por “:” entre los marcadores DATA:{ y }. Cada entrada se cifra por separado de la misma manera que otras cadenas en Numando, con la clave hardcodeada en el binario. Esto dificulta descifrar la configuración sin tener el binario correspondiente; sin embargo, Numando no cambia su clave de descifrado con mucha frecuencia, lo que hace posible el descifrado.
Numando es un troyano bancario latinoamericano escrito en Delphi. Se dirige principalmente a Brasil, más allá de algunas campañas en México y España. Es similar a las otras familias descritas en nuestra serie: usa falsas ventanas superpuestas, contiene funcionalidades de backdoor y utiliza archivos MSI.
Hemos cubierto sus características, métodos de distribución y configuración remota más típicos. Es el único troyano bancario de LATAM escrito en Delphi que utiliza un inyector que no es de Delphi y su formato de configuración remota es único, lo que hace que sean dos factores fiables a la hora de identificar esta familia de malware.
.jpg){kind=small}