ESET Research poursuit sa série d’études des chevaux de Troie bancaires d’Amérique latine, en s’intéressant cette fois à Numando, qui cible principalement le Brésil, et plus rarement le Mexique et l’Espagne. Numando est similaire aux autres familles de malwares décrites dans cette série : utilisation de fausses fenêtres en superposition, fonctionnalités de porte dérobée et détournement de services tels que YouTube pour stocker sa configuration à distance. Mais contrairement à la plupart des autres chevaux de Troie bancaires d’Amérique latine, Numando ne montre aucun signe de poursuite de son développement.
L’auteur de cette famille de malwares est actif depuis au moins 2018. « Même si Numando est loin d’être aussi actif que d’autres chevaux de Troie tels que Mekotio ou Grandoreiro, il est constamment utilisé depuis que nous avons commencé à l’étudier, et apporte de nouvelles techniques intéressantes au pool des chevaux de Troie bancaires latino-américains, » déclare Jakub Souček, le coordinateur de l’équipe ESET qui a analysé Numando.
Ses fonctionnalités de porte dérobée lui permettent de simuler les actions de la souris et du clavier, de redémarrer et d’arrêter la machine, d’afficher des fenêtres de recouvrement, de faire des captures d’écran et de stopper les processus des navigateurs. Il utilise de fausses fenêtres venant se superposer aux applications pour soutirer des informations sensibles à ses victimes.
Parmi les nouvelles techniques utilisées, Numando a recours à des archives ZIP apparemment inutiles ou intègre du code malveillant à des images BMP d’une taille anormalement élevée. Ces fichiers BMP sont des images valides qui peuvent être ouvertes sans problème dans la majorité des lecteurs et éditeurs d’images. Numando est diffusé presque exclusivement par email de spam.
Comme de nombreux autres chevaux de Troie bancaires latino-américains, Numando détourne des services publics tels que YouTube et Pastebin pour stocker sa configuration à distance. Google a rapidement désactivé les comptes YouTube suite à la notification d’ESET.
Pour plus de détails techniques sur Numando, lisez l’article « Numando: Count once, code twice » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.