对银行木马——Numando的分析
2021-09-24 12:00:16 Author: www.4hou.com(查看原文) 阅读量:44 收藏

Numando是一个专门针对拉丁美洲银行进行攻击的木马。根据追踪分析,这个恶意软件家族背后的研发者至少自 2018 年以来就一直活跃在一线。尽管它不像 Mekotio 或 Grandoreiro 那样活跃,但自从研究人员开始跟踪它以来,就一直在攻击位于拉丁美洲的银行,例如使用看似无用的 ZIP 文件或将有效载荷与钓鱼 BMP 图像捆绑在一起。从地理分布上看,它几乎只专注于巴西的攻击目标,很少在墨西哥和西班牙开展活动。Mekotio是一类拉丁美洲的银行木马,主要针对巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙地区发动攻击。该恶意软件家族的最新变种具有一个显著的特点,就是使用SQL数据库作为C&C服务器。Grandoreiro也针对巴西、墨西哥、西班牙和秘鲁的受害者,自2017年以来,Grandoreiro一直活跃在巴西和秘鲁,并在2019年扩展到墨西哥和西班牙。Grandoreiro木马通常仅通过垃圾邮件的方式进行传播。

Numando木马功能分析

与所有其他针对拉丁美洲的银行木马一样,Numando 也是用 Delphi 编写的,并利用虚假的弹出窗口从受害者那里引诱敏感信息。一些 Numando 变体将这些图像存储在其 .rsrc 部分内的加密 ZIP 文件中,而其他变体则使用单独的 Delphi DLL 来存储这些图像。

后门功能允许 Numando 模拟鼠标和键盘操作、重启和关闭设备、显示覆盖窗口、截取屏幕截图和终止浏览器进程。然而,与其他拉丁美洲银行木马不同的是,这些命令被定义为数字而不是字符串,这个恶意软件的命名似乎对我们有所启发。

Figure-1-WM.png

Numando 命令处理——命令 9321795 处理的一部分(红色)

字符串是由拉丁美洲银行木马中最常见的算法加密的,并且没有组织到字符串表中。 Numando 收集受害设备的 Windows 版本和位数。

不过和之前介绍的大多数其他拉丁美洲银行木马不同,Numando 没有显示出持续发展和技术迭代的迹象。虽然不时会有一些细微的变化,但总体而言,二进制文件不会有太大变化。

传播和恶意执行进程

Numando 几乎完全是由垃圾邮件传播,根据研究人员的追踪分析,它的活动最多影响数百名受害者,这种攻击效率使其成功率远低于最流行的拉丁美洲银行木马,如 Mekotio 和 Grandoreiro。最近的活动只是向每封垃圾邮件添加一个包含 MSI 安装程序的 ZIP 附件。此安装程序包含一个 CAB 文件,其中包含一个合法的应用程序、一个注入程序和一个加密的 Numando 银行木马 DLL。如果潜在的受害者执行 MSI,它最终也会运行合法的应用程序,并加载注入程序。注入程序定位有效载荷,然后使用带有多字节密钥的简单 XOR 算法对其进行解密,如下图所示。

Figure-2-WM.png

Numando MSI 及其在最新活动中传播的内容

对于Numando来说,有效载荷和注入程序的名称通常是相同的——带有 .dll 扩展名的注入程序和没有扩展名的有效载荷,这使得注入程序很容易找到加密的有效载荷。令人惊讶的是,注入程序不是用 Delphi 编写的,这在拉丁美洲银行木马中非常罕见。本文末尾的 IoC 包含我们观察到的 Numando 滥用的合法应用程序列表。

Figure-3-WM-1.png

用于执行 Numando 的文件,合法应用程序 (Cooperativa.exe)、注入程序 (Oleacc.dll)、加密载荷 (Oleacc) 和合法 DLL

钓鱼 ZIP 和 BMP 覆盖

最近有一个有趣的传播链值得一提,该链以 Delphi 下载程序下载钓鱼 ZIP 文件开始。下载程序会忽略文件的内容并从 ZIP 文件注释中提取一个十六进制编码的加密字符串,这是一个存储在文件末尾的可选 ZIP 文件组件。下载程序不会解析 ZIP 结构,而是查找整个文件中的最后一个 { 字符用作标记。解密字符串会产生一个不同的 URL,该 URL 指向实际的有效载荷文件。

Figure-4-WM.png

钓鱼是一个有效的 ZIP 文件(ZIP 结构以绿色突出显示),在文件末尾的 ZIP 文件注释中包含一个加密 URL(红色)

第二个 ZIP 文件包含一个合法的应用程序、一个注入程序和一个可疑的大 BMP 图像。下载程序提取此文件的内容并执行合法应用程序,该应用程序会侧载注入程序,进而从 BMP 覆盖层中提取 Numando 银行木马并执行它。该过程如下图所示。

Figure-5-WM.png

使用钓鱼 ZIP 文件的 Numando 传播链

这个BMP文件是一个有效的图像,可以在大多数图像查看器和编辑器中打开而不会出现问题,因为叠加层会被简单地忽略。下图显示了 Numando 攻击者使用的一些钓鱼图像。

Figure-6-WM-1024x223.png

Numando使用一些BMP图像作为诱饵来携带它的有效载荷

远程配置

像许多其他拉丁美洲银行木马一样,Numando 滥用公共服务来存储其远程配置,在本文所讲的示例中是 YouTube 和 Pastebin。下图显示了存储在 YouTube 上的配置示例这是一种类似于Casbaneiro的技术,Casbaneiro是模仿了Spotify或Whatsapp之类的应用程序,以从用户那里收集银行和加密货币信息,谷歌根据 ESET 的通知迅速删除了这些视频。

Figure_07_Youtube_WM-768x559.png

格式很简单,在 DATA:{ 和 } 标记之间由“:”分隔的三个条目。每个条目的加密方式与Numando中的其他字符串相同——密钥在二进制文件中硬编码。这使得在没有相应的二进制文件的情况下很难解密配置,但是Numando并不经常更改它的解密密钥,这使得解密成为可能。

总结

Numando 是一种用 Delphi 编写的针对拉丁美洲的银行木马。它主要针对巴西、墨西哥和西班牙的用户发起攻击。它也使用虚假的覆盖窗口,包含后门功能并利用 MSI。

它是唯一一个用 Delphi 编写的使用非 Delphi 注入程序的 LATAM 银行木马,并且其远程配置格式是独一无二的。

本文翻译自:https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/pLgQ
如有侵权请联系:admin#unsafe.sh