【安全资讯】Numando拉丁美洲银行木马分析

引言

Numando是一个用Delphi编写的拉丁美洲银行木马，恶意软件家族背后的攻击者至少自2018年以来一直活跃。Numando木马主要由垃圾邮件分发，主要针对巴西，在墨西哥和西班牙也展开过攻击活动。

简况

Numando木马用 Delphi 编写，但注入器不是用 Delphi 编写的。Numando木马利用虚假的覆盖窗口盗取受害者的敏感信息，一些Numando变体将这些图像存储在其加密ZIP文档中，而其他变体则使用单独的DelphiDLL来存储图像。Numando的后门功能可以模拟鼠标和键盘操作、重启和关闭机器、显示覆盖窗口、截取屏幕截图和终止浏览器进程。与其他拉丁美洲银行木马不同的是，这些命令被定义为数字而不是字符串，如下图：

Numando由垃圾邮件分发，仅影响了数百名受害者，感染率远低于最流行的拉丁美洲银行木马，如Mekotio和Grandoreiro。Numando最近的分发活动在每封垃圾邮件中添加一个包含MSI安装程序的ZIP附件。此安装程序包含一个CAB存档，其中包含一个应用程序、一个注入器和一个加密的Numando银行木马DLL。如果潜在的受害者执行MSI，最终运行应用程序，并加载注入器。注入器定位有效负载，然后使用带有多字节密钥的简单XOR算法对其进行解密，如下图：

此外，Numando还可以使用诱饵ZIP存档分发。分发链以Delphi下载器下载诱饵ZIP存档开始。下载器会忽略存档的内容并从ZIP文件注释中提取一个十六进制编码的加密字符串，这是一个存储在文件末尾的可选ZIP文件组件。下载器不解析ZIP结构，而是查找整个文件中的最后一个字符。解密字符串会产生一个不同的URL，该URL指向实际的有效负载存档。第二个ZIP档案包含一个应用程序、一个注入器和一个BMP图像。下载器提取此存档的内容并执行应用程序，该应用程序会侧向加载注入器，进而从BMP覆盖中提取并执行Numando银行木马。如下图：

总结

Numando 是用 Delphi 编写的拉丁美洲银行木马，但注入器不是用 Delphi 编写的，主要针对巴西。Numando木马使用虚假的覆盖窗口，包含后门功能并利用 MSI，可以通过垃圾邮件和诱饵ZIP存档分发。