Yeni Virüs, Yapılandırma İçin Youtube’yi Berbata Kullanıyor

ESET araştırmacıları, yayılmak için YouTube, Pastebin ve diğer kamu platformlarını C2 altyapısı olarak berbata kullanan, Numando olarak bilinen yeni bir bankacılık truva atı virüsü tespit etti.

Bu virüsün arkasındaki tehdit en az 2018’den bu yana etkin ve neredeyse yalnızca Brezilya’ya odaklanıyor; lakin uzmanlar az de olsa Meksika ve İspanya’daki kullanıcılara yönelik taarruzlar olduğuna da dikkat çekiyor. Başka Latin Amerika bankacılık truva atlarında olduğu üzere, bu yeni cins de Delphi’de yazılmış ve hassas bilgileri ele geçirmek için geçersiz pencereler aracılığıyla kurbanları kandırma prensibine dayanıyor.

Virüs, kurbanların kimlik bilgilerini amaç alıyor

ESET’in yayınladığı tahlilde, “Bazı Numando türevleri bu imajları .rsrc kısımlarında şifreli bir ZIP arşivinde saklarken, öbürleri yalnızca bu depolamaya özel farklı bir Delphi DLL kullanıyor. Art çıkış yetenekleri, Numando’nun fare ve klavye hareketlerini simüle etmesine, makineyi yine başlatmasına ve tarayıcı işlemelerini sonlandırmasına imkan tanıyor. “ ve “Ancak öbür Latin Amerika bankacılık truvalarının bilakis, tıpkı vakitte bu makus gayeli yazılım ailesini adlandırmamıza da ilham veren şey olan, komutlar dizeler yerine sayılar olarak tanımlanıyor. “ sözlerine yer verdi.

Uzmanlar, tahlil ettikleri öteki Latin Amerika bankacılık truva atlarından farklı olarak Numando’nun gelişme aşamasında olmadığını fark etti.

Neredeyse yalnızca kötü maksatlı spam kampanyaları tarafından dağıtılan Numando, son saldırılarında MSI yükleyici içeren bir ZIP eki kullanan iletiler kullandı. Yükleyici; yasal bir uygulama, bir enjektör ve şifreli bir Numando bankacılık truva DLL’si içeren bir CAB arşivi içeriyor. MSI’ın çalıştırılmasıyla, yasal uygulama ve yükü yükleyerek şifreyi çözen enjektör de aktive edilmiş oluyor. Numando amaç aygıta bir sefer kurulduğunda, kurban bir finans kuruluşunun sitesini her ziyaret ettiğinde kimlik bilgilerini yakalayan sahte pencereler oluşmasına sebep olur.

Kamu hizmetlerinden faydalanıyor

Buna ek olarak uzmanlar, bir Deplhi indiricisinin bir tuzak ZIP arşivini indirmesiyle başlayan son taarruzlarda kullanılan öteki bir dağıtım zincirini de ortaya çıkardı. İndirici, ZIP arşivinin içeriğini yok sayarak belgenin sonundaki ZIP evrakı yorumundan kodlanmış şifreli 16’lık bir dize çıkarıyor ve bu dizenin çözülmesi de, gerçek yük arşivine giden farklı bir URL ile sonuçlanıyor.

Raporda, “İkinci ZIP arşivi legal bir uygulama, bir enjektör ve kuşkulu derecede büyük bir BMP imgesi içeriyor. İndirici, bu arşivin içeriğini çıkarıp bir yandan enjektörü yükleyen legal uygulamayı çalıştırdığında, Numando bankacılık truva virüsü de BMP kaplamasında çıkar ve çalışmaya başlar. “ ve “Bu BMP evrakı geçerli bir fotoğraf ve üst üste bindirme basitçe göz arkası edildiğinden, görüntüleyenlerin ve editörlerin birçoklarında meselesiz bir formda açılabilir, “ tabirleri de geçiyor.

Numando, Casbaneiro üzere öbür makus gayeli yazılımlar tarafından kullanılan bir teknik olan uzak yapılandırma için Pastebin ve YouTube üzere kamu hizmetlerinden yararlanıyor.

Numando ayrıyeten fare tıklamalarını ve klavye eylemlerini simüle edip PC kapatma ve tekrar başlatma fonksiyonlarını ele geçirebilir, ekran imajları alabilir ve tarayıcı süreçlerini sonlandırabilir.