ESET tahlilcileri, dağılmak için YouTube, Pastebin ve öteki kamu platformlarını C2 altyapısı olarak makûsa kullanan, Numando olarak öğrenilen yeni bir bankacılık truva atı virüsü tespit etti.
Bu virüsün arkasındaki tehdit en az 2018’den bu yana etkin ve neredeyse yalnızca Brezilya’ya odaklanıyor; ancak uzmanlar ender de olsa Meksika ve İspanya’daki kullanıcılara müteveccih hamleler olduğuna da dikkat topluyor. Öteki Latin Amerika bankacılık truva atlarında olduğu gibi, bu yeni cins de Delphi’de yazılmış ve duyarlı bilgileri ele geçirmek için sahte pencereler aracılığıyla kurbanları aldatma prensibini direniyor.
ESET’in yayınladığı incelemede, “Bazı Numando türevleri bu görüntüleri .rsrc kısımlarında parolalı bir ZIP arşivine gizlerken, ötekileri yalnızca bu depolamaya özel ayrı bir Delphi DLL kullanıyor. Arka çıkış hünerleri, Numando’nun fare ve klavye eylemlerini simüle etmesine, cihazı yine başlatmasına ve tarayıcı işlemelerini sonlandırmasına imkân tanıyor. “ ve “Ancak öteki Latin Amerika bankacılık truvalarının aksine, aynı zamanda bu makûs emelli yazılım ailesini adlandırmamıza da esin veren şey olan, komutlar dizeler yerine rakamlar olarak belirleniyor. “ ifadelerine yer verdi.
Uzmanlar, inceleme ettikleri öteki Latin Amerika bankacılık truva atlarından değişik olarak Numando’nun büyüme evresinde olmadığını fark etti.
Neredeyse yalnızca makûs emelli spam kampanyaları tarafından dağıtılan Numando, son ataklarında MSI yükleyici kapsayan bir ZIP eki kullanan iletiler kullandı. Yükleyici; hukuki bir uygulama, bir şırınga ve parolalı bir Numando bankacılık truva DLL’si kapsayan bir CAB arşivi kapsıyor. MSI’ın çalıştırılmasıyla, legal uygulama ve yükü yükleyerek parolayı çözen şırınga da aktive edilmiş oluyor. Numando hedef makineye bir defa kurulduğunda, kurban bir finans kuruluşunun sitesini her ziyaret ettiğinde kimlik bilgilerini tutan sahte pencereler oluşmasına neden olur.
Buna ek olarak uzmanlar, bir Deplhi indiricisinin bir tuzak ZIP arşivini indirmesiyle başlayan son hücumlarda kullanılan başka bir dağıtım zincirini de ortaya çıkardı. İndirici, ZIP arşivinin içeriğini yok sayarak dosyanın sonundaki ZIP dosyası yorumundan kodlanmış parolalı 16’lık bir dize çıkarıyor ve bu dörtlüğün çözülmesi de, asıl yük arşivine giden değişik bir URL ile sonuçlanıyor.
Raporda, “İkinci ZIP arşivi hukuki bir uygulama, bir şırınga ve kuşkulu derecede büyük bir BMP görüntüsü kapsıyor. İndirici, bu arşivin içeriğini çıkarıp bir yandan şırıngayı yükleyen hukuki uygulamayı çalıştırdığında, Numando bankacılık truva virüsü de BMP kaplamasında çıkar ve çalışmaya başlar. “ ve “Bu BMP dosyası geçerli bir fotoğraf ve üst üste bindirme kolayca göz arkasını edildiğinden, görüntüleyenlerin ve editörlerin çoğunda meselesiz bir biçimde açılabilir, “ ifadeleri de geçiyor.
Numando, Casbaneiro gibi öteki makûs emelli yazılımlar tarafından kullanılan bir teknik olan uzak yapılandırma için Pastebin ve YouTube gibi kamu hizmetlerinden faydalanıyor.
Numando ayrıca fare tıklamalarını ve klavye eylemlerini simüle edip PC kapatma ve yine başlatma işlevlerini ele geçirebilir, ekran görüntüleri alabilir ve tarayıcı harekâtlarını sonlandırabilir.
