Numando是一個專門針對拉丁美洲銀行進行攻擊的木馬。根據(jù)追蹤分析，這個惡意軟件家族背后的研發(fā)者至少自 2018 年以來就一直活躍在一線。盡管它不像 Mekotio 或 Grandoreiro 那樣活躍，但自從研究人員開始跟蹤它以來，就一直在攻擊位于拉丁美洲的銀行，例如使用看似無用的 ZIP 文件或?qū)⒂行лd荷與釣魚 BMP 圖像捆綁在一起。從地理分布上看，它幾乎只專注于巴西的攻擊目標(biāo)，很少在墨西哥和西班牙開展活動。Mekotio是一類拉丁美洲的銀行木馬，主要針對巴西、智利、墨西哥、西班牙、秘魯和葡萄牙地區(qū)發(fā)動攻擊。該惡意軟件家族的最新變種具有一個顯著的特點，就是使用SQL數(shù)據(jù)庫作為C&C服務(wù)器。Grandoreiro也針對巴西、墨西哥、西班牙和秘魯?shù)氖芎φ撸?017年以來，Grandoreiro一直活躍在巴西和秘魯，并在2019年擴展到墨西哥和西班牙。Grandoreiro木馬通常僅通過垃圾郵件的方式進行傳播。

　　Numando木馬功能分析

　　與所有其他針對拉丁美洲的銀行木馬一樣，Numando 也是用 Delphi 編寫的，并利用虛假的彈出窗口從受害者那里引誘敏感信息。一些 Numando 變體將這些圖像存儲在其 .rsrc 部分內(nèi)的加密 ZIP 文件中，而其他變體則使用單獨的 Delphi DLL 來存儲這些圖像。

　　后門功能允許 Numando 模擬鼠標(biāo)和鍵盤操作、重啟和關(guān)閉設(shè)備、顯示覆蓋窗口、截取屏幕截圖和終止瀏覽器進程。然而，與其他拉丁美洲銀行木馬不同的是，這些命令被定義為數(shù)字而不是字符串，這個惡意軟件的命名似乎對我們有所啟發(fā)。

　　Numando 命令處理——命令 9321795 處理的一部分（紅色）

　　字符串是由拉丁美洲銀行木馬中最常見的算法加密的，并且沒有組織到字符串表中。Numando 收集受害設(shè)備的 Windows 版本和位數(shù)。

　　不過和之前介紹的大多數(shù)其他拉丁美洲銀行木馬不同，Numando 沒有顯示出持續(xù)發(fā)展和技術(shù)迭代的跡象。雖然不時會有一些細微的變化，但總體而言，二進制文件不會有太大變化。

　　傳播和惡意執(zhí)行進程

　　Numando 幾乎完全是由垃圾郵件傳播，根據(jù)研究人員的追蹤分析，它的活動最多影響數(shù)百名受害者，這種攻擊效率使其成功率遠低于最流行的拉丁美洲銀行木馬，如 Mekotio 和 Grandoreiro。最近的活動只是向每封垃圾郵件添加一個包含 MSI 安裝程序的 ZIP 附件。此安裝程序包含一個 CAB 文件，其中包含一個合法的應(yīng)用程序、一個注入程序和一個加密的 Numando 銀行木馬 DLL。如果潛在的受害者執(zhí)行 MSI，它最終也會運行合法的應(yīng)用程序，并加載注入程序。注入程序定位有效載荷，然后使用帶有多字節(jié)密鑰的簡單 XOR 算法對其進行解密，如下圖所示。

　　Numando MSI 及其在最新活動中傳播的內(nèi)容

　　對于Numando來說，有效載荷和注入程序的名稱通常是相同的——帶有 .dll 擴展名的注入程序和沒有擴展名的有效載荷，這使得注入程序很容易找到加密的有效載荷。令人驚訝的是，注入程序不是用 Delphi 編寫的，這在拉丁美洲銀行木馬中非常罕見。本文末尾的 IoC 包含我們觀察到的 Numando 濫用的合法應(yīng)用程序列表。

　　用于執(zhí)行 Numando 的文件，合法應(yīng)用程序 （Cooperativa.exe）、注入程序 （Oleacc.dll）、加密載荷 （Oleacc） 和合法 DLL

　　釣魚 ZIP 和 BMP 覆蓋

　　最近有一個有趣的傳播鏈值得一提，該鏈以 Delphi 下載程序下載釣魚 ZIP 文件開始。下載程序會忽略文件的內(nèi)容并從 ZIP 文件注釋中提取一個十六進制編碼的加密字符串，這是一個存儲在文件末尾的可選 ZIP 文件組件。下載程序不會解析 ZIP 結(jié)構(gòu)，而是查找整個文件中的最后一個 { 字符用作標(biāo)記。解密字符串會產(chǎn)生一個不同的 URL，該 URL 指向?qū)嶋H的有效載荷文件。

　　釣魚是一個有效的 ZIP 文件（ZIP 結(jié)構(gòu)以綠色突出顯示），在文件末尾的 ZIP 文件注釋中包含一個加密 URL（紅色）

　　第二個 ZIP 文件包含一個合法的應(yīng)用程序、一個注入程序和一個可疑的大 BMP 圖像。下載程序提取此文件的內(nèi)容并執(zhí)行合法應(yīng)用程序，該應(yīng)用程序會側(cè)載注入程序，進而從 BMP 覆蓋層中提取 Numando 銀行木馬并執(zhí)行它。該過程如下圖所示。

　　使用釣魚 ZIP 文件的 Numando 傳播鏈

　　這個BMP文件是一個有效的圖像，可以在大多數(shù)圖像查看器和編輯器中打開而不會出現(xiàn)問題，因為疊加層會被簡單地忽略。下圖顯示了 Numando 攻擊者使用的一些釣魚圖像。

　　Numando使用一些BMP圖像作為誘餌來攜帶它的有效載荷

　　遠程配置

　　像許多其他拉丁美洲銀行木馬一樣，Numando 濫用公共服務(wù)來存儲其遠程配置，在本文所講的示例中是 YouTube 和 Pastebin。下圖顯示了存儲在 YouTube 上的配置示例這是一種類似于Casbaneiro的技術(shù)，Casbaneiro是模仿了Spotify或Whatsapp之類的應(yīng)用程序，以從用戶那里收集銀行和加密貨幣信息，谷歌根據(jù) ESET 的通知迅速刪除了這些視頻。

　　格式很簡單，在 DATA:{ 和 } 標(biāo)記之間由“：”分隔的三個條目。每個條目的加密方式與Numando中的其他字符串相同——密鑰在二進制文件中硬編碼。這使得在沒有相應(yīng)的二進制文件的情況下很難解密配置，但是Numando并不經(jīng)常更改它的解密密鑰，這使得解密成為可能。

　　總結(jié)

　　Numando 是一種用 Delphi 編寫的針對拉丁美洲的銀行木馬。它主要針對巴西、墨西哥和西班牙的用戶發(fā)起攻擊。它也使用虛假的覆蓋窗口，包含后門功能并利用 MSI。

　　它是唯一一個用 Delphi 編寫的使用非 Delphi 注入程序的 LATAM 銀行木馬，并且其遠程配置格式是獨一無二的。