Jump to content

银行木马——Numando分析


皮条客

Recommended Posts

Numando是一个攻击拉丁美洲银行的特洛伊木马。根据追踪分析,至少从2018年开始,这个恶意软件家族背后的开发者就活跃在第一线。尽管它没有Mekotio或Grandoreiro那么活跃,但自从研究人员开始跟踪它以来,它一直在攻击拉丁美洲的银行,比如使用看似无用的ZIP文件,或者将有效载荷与钓鱼BMP图像捆绑在一起。在地理上,它几乎只关注巴西的攻击目标,很少在墨西哥和西班牙开展活动。Mekotio是拉丁美洲的一种银行木马,主要攻击巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙。这个恶意软件家族的最新变种有一个显著的特点,那就是使用SQL数据库作为CC服务器。Grandoreiro还以巴西、墨西哥、西班牙和秘鲁的受害者为目标。自2017年以来,Grandoreiro一直活跃在巴西和秘鲁,并于2019年扩展到墨西哥和西班牙。Grandoreiro特洛伊木马通常只通过垃圾邮件传播。

Numando木马功能分析

像所有其他拉丁美洲的银行木马一样,Numando是用Delphi编写的,并使用虚假的弹出窗口从受害者那里引诱敏感信息。Numando的一些变体将这些图像存储在它们的。rsrc部分,而其他部分使用单独的Delphi DLL来存储这些图像。

后门功能允许Numando模拟鼠标和键盘操作,重启和关闭设备,显示覆盖窗口,捕捉屏幕截图和终止浏览器进程。但是,与其他拉丁美洲银行特洛伊木马不同,这些命令被定义为数字,而不是字符串。这个恶意软件的名字似乎启发了我们。

Figure-1-WM.png

Numando命令处理——命令9321795处理部分(红色)。

该字符串由拉丁美洲银行特洛伊木马程序中最常见的算法加密,不组织到字符串表中。Numando收集受害设备的Windows版本和位数。

然而,与之前推出的大多数其他拉丁美洲银行木马不同,Numando没有显示出持续开发和技术迭代的迹象。虽然时不时会有一些细微的变化,但总体来说,二进制文件不会有太大的变化。

传播和恶意执行进程

Numando几乎完全是通过垃圾邮件传播的。根据研究人员的追踪分析,其活动最多影响数百名受害者。这种攻击效率使其成功率远低于最流行的拉丁美洲银行木马,如Mekotio和Grandoreiro。最近的活动只是在每封垃圾邮件中添加一个包含MSI安装程序的ZIP附件。该安装程序包含一个CAB文件,其中包含一个合法的应用程序,一个注射器和一个加密的努曼多银行木马DLL。如果潜在的受害者执行MSI,它最终将运行合法的应用程序并加载注射器。注入器定位有效负载,然后使用简单的异或算法和多字节密钥解密,如下图所示。

Figure-2-WM.png

Numando MSI及其在最新活动中的内容。

对于Numando,有效载荷和喷油器的名称通常是相同的:——喷油器带。dll扩展和没有扩展的有效载荷,这使得注入器很容易找到加密的有效载荷。令人惊讶的是,注入程序不是用Delphi编写的,这在拉丁美洲银行木马中非常少见。本文末尾的IoC包含了一个Numando滥用的合法应用程序列表。

Figure-3-WM-1.png

用于执行Numando、合法应用程序(Cooperativa.exe)、注入程序(Oleacc.dll)、加密有效负载(Oleacc)和合法dll的文件。

>

钓鱼 ZIP 和 BMP 覆盖

最近有一个有趣的传播链值得一提,该链以 Delphi 下载程序下载钓鱼 ZIP 文件开始。下载程序会忽略文件的内容并从 ZIP 文件注释中提取一个十六进制编码的加密字符串,这是一个存储在文件末尾的可选 ZIP 文件组件。下载程序不会解析 ZIP 结构,而是查找整个文件中的最后一个 { 字符用作标记。解密字符串会产生一个不同的 URL,该 URL 指向实际的有效载荷文件。

Figure-4-WM.png

钓鱼是一个有效的 ZIP 文件(ZIP 结构以绿色突出显示),在文件末尾的 ZIP 文件注释中包含一个加密 URL(红色)

第二个 ZIP 文件包含一个合法的应用程序、一个注入程序和一个可疑的大 BMP 图像。下载程序提取此文件的内容并执行合法应用程序,该应用程序会侧载注入程序,进而从 BMP 覆盖层中提取 Numando 银行木马并执行它。该过程如下图所示。

Figure-5-WM.png

使用钓鱼 ZIP 文件的 Numando 传播链

这个BMP文件是一个有效的图像,可以在大多数图像查看器和编辑器中打开而不会出现问题,因为叠加层会被简单地忽略。下图显示了 Numando 攻击者使用的一些钓鱼图像。

Figure-6-WM-1024x223.png

Numando使用一些BMP图像作为诱饵来携带它的有效载荷

远程配置

像许多其他拉丁美洲银行木马一样,Numando 滥用公共服务来存储其远程配置,在本文所讲的示例中是 YouTube 和 Pastebin。下图显示了存储在 YouTube 上的配置示例这是一种类似于Casbaneiro的技术,Casbaneiro是模仿了Spotify或Whatsapp之类的应用程序,以从用户那里收集银行和加密货币信息,谷歌根据 ESET 的通知迅速删除了这些视频。

Figure_07_Youtube_WM-768x559.png

格式很简单,在 DATA:{ 和 } 标记之间由“:”分隔的三个条目。每个条目的加密方式与Numando中的其他字符串相同——密钥在二进制文件中硬编码。这使得在没有相应的二进制文件的情况下很难解密配置,但是Numando并不经常更改它的解密密钥,这使得解密成为可能。

总结

Numando 是一种用 Delphi 编写的针对拉丁美洲的银行木马。它主要针对巴西、墨西哥和西班牙的用户发起攻击。它也使用虚假的覆盖窗口,包含后门功能并利用 MSI。

它是唯一一个用 Delphi 编写的使用非 Delphi 注入程序的 LATAM 银行木马,并且其远程配置格式是独一无二的。

原文链接:https://www.4hou.com/posts/pLgQ

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

极客研究所

geekfooer.png.cea50058ddf1c8276491a8b29ec21205.png

GEEK.AC.CN 极客论坛,推动中国极客文化发展,建设全面网络科技体系,共同学习与成长。

Panel Title #2

痛苦本身可能是很多痛苦,但主要的原因是痛苦,但我给它时间像一些巨大的痛苦和痛苦一样陷入其中。为了让最少的人到来,除了从中获得目标之外,我们还可以进行任何劳动学派。

Home
Search
Existing user? Sign In
×
×
  • Create New...

Important Information

Dear visitors, please read and agree to our website rules before visiting our website!Guidelines