Numando: novo trojan tenta roubar dados bancários e afeta principalmente o Brasil

O Numando faz parte da série de trojans bancários da América Latina que foram detectados e analisados pelos pesquisadores da ESET. O Brasil é um dos países mais afetados pela ameaça.

O Numando faz parte da série de trojans bancários da América Latina que foram detectados e analisados pelos pesquisadores da ESET. O Brasil é um dos países mais afetados pela ameaça.

Detectamos um novo trojan bancário direcionado à América Latina que merece um pouco mais de atenção: o Numando, que está ativo desde pelo menos 2018. Embora não seja tão dinâmico quanto o Mekotio ou Grandoreiro, o Numando tem sido utilizado constantemente desde que começamos a rastreá-lo, trazendo novas técnicas interessantes para o conjunto de truques que destacamos sobre o grupo de trojans bancários latino-americanos, como o uso de arquivos ZIP aparentemente inúteis ou o carregamento de payloads junto com imagens em formato BMP utilizadas como isca. Geograficamente, o Numando está enfocado quase que exclusivamente no Brasil, apesar da circulação de algumas campanhas no México e na Espanha.

Características

Assim como os outros trojans bancários latino-americanos descritos na série produzida pelos pesquisadores da ESET, o Numando é escrito em Delphi e usa sobreposições falsas para roubar informações confidenciais de suas vítimas. Algumas variantes do Numando armazenam essas imagens em um arquivo ZIP criptografado em suas seções .rsrc, enquanto outras usam uma DLL em Delphi separada apenas para esse armazenamento.

As capacidades de backdoor do Numando fazem com que seja possível simular ações do mouse e do teclado, reiniciar e desligar o computador, exibir janelas sobrepostas, produzir capturas de tela e eliminar processos do navegador. No entanto, ao contrário de outros trojans bancários latino-americanos, os comandos são definidos como números em vez de strings (veja a Figura 1), o que inspirou a maneira como decidimos nomear essa família de malware.

Figura 1. Processamento de comando do Numando: parte do processamento do comando 9321795 (vermelho).

As strings são criptografadas pelo algoritmo mais comum entre os trojans bancários latino-americanos (que pode ser visto na Figura 5 do nosso post sobre o Casbaneiro) e não são organizadas em uma tabela de strings. O Numando coleta a versão do Windows e o número de bits do computador comprometido.

Ao contrário da maioria dos outros trojans bancários latino-americanos que analisamos nesta série, o Numando não mostra sinais de desenvolvimento contínuo. Ocasionalmente, ocorrem algumas pequenas alterações, mas, em geral, os binários não tendem a mudar muito.

Distribuição e execução

O Numando é distribuído quase exclusivamente por meio de malspam. De acordo com nossa telemetria, suas campanhas afetam até algumas centenas de vítimas, o que faz com que sejam bem tão bem sucedidas como as campanhas dos trojans bancários mais prevalentes na América Latina, como Mekotio e Grandoreiro. As campanhas recentes simplesmente adicionam um anexo ZIP contendo um instalador MSI para cada e-mail de spam. Esse instalador contém um arquivo CAB com um aplicativo legítimo, um injetor e uma DLL criptografada do trojan bancário Numando. Caso a vítima execute o MSI, a ameaça eventualmente também executará o aplicativo legítimo, o que faz com que o injetor seja carregado. O injetor localiza o payload e, em seguida, o descriptografa usando um algoritmo XOR simples com uma chave multibyte, conforme pode ser visto na visão geral desse processo na Figura 2.

Figura 2. MSI do Numando e os conteúdos distribuídos nas últimas campanhas.

Para o Numando, o payload e o injetor geralmente são nomeados de forma idêntica: o injetor com a extensão .dll e o payload sem uma extensão (veja a Figura 3), o que torna mais fácil para o injetor localizar o payload criptografado. Surpreendentemente, o injetor não está escrito em Delphi, algo muito raro entre os trojans bancários latino-americanos. Os IoCs (final deste post) contêm uma lista de aplicativos legítimos que foram atacados e utilizados ​​pelo Numando.

Figura 3. Arquivos utilizados para executar o Numando. Aplicativo legítimo (Cooperativa.exe), injetor (Oleacc.dll), payload criptografado (Oleacc) e DLLs legítimas.

Decoy ZIP e BMP overlay

Há uma cadeia de distribuição bastante interessante que observamos no anteriormente e que vale a pena mencionar. Essa cadeia começa com um downloader em Delphi que baixa um arquivo ZIP utilizado como isca (veja a Figura 4). O downloader ignora o conteúdo do arquivo e extrai do comentário do arquivo ZIP uma string criptografada em hexadecimal, um componente opcional do arquivo ZIP armazenado no final do arquivo. O downloader não analisa a estrutura ZIP, mas em vez disso procura o último caractere {(usado como um marcador) em todo o arquivo. A descriptografia da string resulta em uma URL diferente que leva ao arquivo do payload.

Figura 4. A isca é um arquivo ZIP válido (as estruturas ZIP destacadas em verde) com uma URL criptografada e incluída em um comentário de arquivo ZIP no final do arquivo (vermelho).

O segundo arquivo ZIP contém um aplicativo legítimo, um injetor e uma imagem BMP suspeitamente grande. O downloader extrai o conteúdo desse arquivo e executa o aplicativo legítimo, que carrega o injetor que, por sua vez, extrai o trojan bancário Numando banking da imagem BMP de sobreposição e o executa. O processo é ilustrado na Figura 5.

Figura 5. Cadeia de distribuição do Numando utilizando um arquivo ZIP como isca.

Este arquivo BMP é uma imagem válida e pode ser aberto na maioria dos visualizadores e editores de imagens, pois a sobreposição é simplesmente ignorada. A Figura 6 mostra algumas das imagens usadas como isca pelo criador do Numando.

Figura 6. Algumas imagens BMP utilizadas pelo Numando como iscas para transportar o payload.

Configuração remota

Assim como muitos outros trojans bancários latino-americanos, o Numando se aproveita dos serviços públicos para armazenar suas configurações remotas: YouTube e Pastebin neste caso. A Figura 7 mostra um exemplo da configuração armazenada no YouTube, uma técnica semelhante usada pelo Casbaneiro, embora muito menos enganosa. O Google removeu rapidamente os vídeos após a ESET ter reportado a empresa sobre a ameaça.

Figura 7. Configuração remota do Numando no YouTube.

O formato é simples: três entradas delimitadas por “:” entre os marcadores DATA: { y }. Cada entrada é criptografada separadamente da mesma maneira que outras strings no Numando, com a chave hardcodeada no binário. Isso faz com que seja ainda mais difícil descriptografar a configuração sem ter o binário correspondente. No entanto, o Numando não altera sua chave de descriptografia com muita frequência, o que faz com que seja possível descriptografar a configuração.

Conclusão

O Numando é um trojan bancário latino-americano escrito em Delphi. É direcionado principalmente aos usuários no Brasil, além de algumas campanhas no México e na Espanha. É semelhante às outras famílias descritas em nossa série: usa pop-up falsos, conta com funcionalidades de um backdoor e usa arquivos MSI.

Destacamos as características, métodos de distribuição e configurações remota mais típicas do Numando. Esse é o único trojan bancário escrito em Delphi que utiliza um injetor não Delphi e seu formato de configuração remota é único, o que o torna dois fatores confiáveis ​​na identificação dessa família de malware.

Em caso de dúvidas, envie um e-mail para threatintel@eset.com. Os Indicadores de comprometimento também podem ser encontrados em nosso repositório no GitHub.

Indicadores de Comprometimento (IoCs)

Hashes

SHA-1DescriptionESET detection name
E69E69FBF438F898729E0D99EF772814F7571728MSI downloader for “decoy ZIP”Win32/TrojanDownloader.Delf.CQR
4A1C48064167FC4AD5D943A54A34785B3682DA92MSI installerWin32/Spy.Numando.BA
BB2BBCA6CA318AC0ABBA3CD53D097FA13DB85ED0Numando banking trojanWin32/Spy.Numando.E
BFDA3EAAB63E23802EA226C6A8A50359FE379E75Numando banking trojanWin32/Spy.Numando.AL
9A7A192B67895F63F1AFDF5ADF7BA2D195A17D80Numando banking trojanWin32/Spy.Numando.AO
7789C57DCC3520D714EC7CA03D00FFE92A06001ADLL with overlay window imagesWin32/Spy.Numando.P

Aplicativos legítimos utilizados pela ameaça

Example SHA-1EXE nameDLL name
A852A99E2982DF75842CCFC274EA3F9C54D22859nvsmartmaxapp.exenvsmartmax.dll
F804DB94139B2E1D1D6A3CD27A9E78634540F87CVBoxTray.exempr.dll
65684B3D962FB3483766F9E4A9C047C0E27F055EDumpsender.exeOleacc.dll

Servidores de C&C

  • 138.91.168[.]205:733
  • 20.195.196[.]231:733
  • 20.197.228[.]40:779

URL de entrega

  • https://enjoyds.s3.us-east-2.amazonaws[.]com/H97FJNGD86R.zip
  • https://lksluthe.s3.us-east-2.amazonaws[.]com/B876DRFKEED.zip
  • https://procjdcals.s3.us-east-2.amazonaws[.]com/HN97YTYDFH.zip
  • https://rmber.s3.ap-southeast-2.amazonaws[.]com/B97TDKHJBS.zip
  • https://sucessmaker.s3.us-east-2.amazonaws[.]com/JKGHFD9807Y.zip
  • https://trbnjust.s3.us-east-2.amazonaws[.]com/B97T908ENLK.zip
  • https://webstrage.s3.us-east-2.amazonaws[.]com/G497TG7UDF.zip

Técnicas do MITRE ATT&CK

Nota: esta tabela foi criada usando a versão 9 do framework do MITER ATT&CK.

TacticIDNameDescription
Resource Development T1583.001Acquire Infrastructure: DomainsNumando operators register domains to be used as C&C servers.
T1587.001

Develop Capabilities: MalwareNumando is likely developed by its operator.
Initial Access T1566Phishing: Spearphishing AttachmentNumando is distributed as a malicious email attachment.
Execution T1204.002User Execution: Malicious FileNumando relies on the victim to execute the distributed MSI file.
Defense Evasion T1140

Deobfuscate/Decode Files or InformationNumando encrypts its payload or hides it inside a BMP image file, and some variants encrypt and hex encode their main payload URLs in a comment in decoy ZIP files.
T1574.002Hijack Execution Flow: DLL Side-LoadingNumando is often executed by DLL side-loading.
T1027.002Obfuscated Files or Information: Software PackingSome Numando binaries are packed with VMProtect or Themida.
T1218.007Signed Binary Proxy Execution: MsiexecNumando uses the MSI format for execution.
Discovery T1010Application Window DiscoveryNumando monitors the foreground windows.
T1082
System Information DiscoveryNumando collects the Windows version and bitness.
Collection T1113Screen CaptureNumando can take screenshots.
Command and Control T1132.002Data Encoding: Non-Standard EncodingNumando uses custom encryption.
Exfiltration T1041Exfiltration Over C2 ChannelNumando exfiltrates data via a C&C server.

Newsletter

Discussão