新型银行木马Numando针对拉丁美洲用户进行长期APT攻击

一个新型的银行木马程序 Numando 针对拉丁美洲用户进行广泛的传播，根据刀叉至少从2018年以来一直在进行持续的恶意活动。这个木马使用了一些新颖的技术，例如使用看似无用的 ZIP 文化部或将有效载荷与诱饵 BMP 图像捆绑在一起。从木马受害者的地理位置上看，它几乎完全专注于巴西，并在墨西哥和西班牙开展了罕见的恶意攻击活动。

根据网络安全行业门户极牛网JIKENB.COM的梳理，该恶意软件使用 Delphi 编程语言编写，带有一系列后门功能，可以控制受感染的机器、模拟鼠标和键盘操作、重新启动和关闭主机、显示覆盖窗口、捕获屏幕截图以及终止浏览器进程。Numando主要通过垃圾邮件进行传播，迄今为止已经诱捕了数百个受害者。

攻击始于嵌入了包含MSI 安装程序的 ZIP 附件的网络钓鱼消息，该附件又包括带有合法应用程序、注入器和加密的 Numando 银行木马 DLL 的文件柜存档。执行 MSI 会导致应用程序的执行，从而导致注入器模块被侧载并解密最后阶段的恶意软件负载。

在 ESET 观察到的另一个分发链中，恶意软件采用可疑性高但有效的 BMP 图像文件的形式，注入器从中提取并执行 Numando 银行木马。使该活动脱颖而出的是它使用 YouTube 视频标题和描述（现已删除）来存储远程配置，例如命令和控制服务器的 IP 地址。

根据网络安全行业门户极牛网JIKENB.COM的梳理，该木马使用虚假的覆盖窗口，包含后门功能，并利用 MSI 安装程序，它是唯一一个用 Delphi 编写的 LATAM 银行木马，它使用非 Delphi 注入器，并且其远程配置格式是独一无二的，因此在识别此恶意软件系列时有两个可靠的因素。