Le laboratoire de ESET a réalisé un bilan relatif aux chevaux de Troie bancaires. Dans cette étude, un cheval de Troie bancaire a été détecté qui abuse de plusieurs plateformes publiques, telles que YouTube et Pastebin afin de se propager et de contrôler les machines compromises.

Dans le post publié le 17 septembre, les chercheurs en cybersécurité ont déclaré que le cheval de Troie, écrit en Delphi, nommé Numando et actif depuis 2018, affiche de fausses fenêtres superposées pour tromper les victimes et les amener à soumettre des données sensibles utilisées pour accéder à des services financiers.

Comme c'est le cas pour de nombreuses variantes de chevaux de Troie bancaires, Numando se propage quasiment par le biais de campagnes de spam et de phishing. Cependant, ces tentatives ne sont pas vraiment sophistiquées. En effet, pas plus de quelques centaines de victimes ont été identifiées.

Dans les campagnes récentes, les spams envoyés pour diffuser Numando sont composés d'un message de phishing et d'une pièce jointe .ZIP incluse dans l'e-mail.

Un fichier .ZIP leurre est téléchargé, ainsi qu'un fichier .ZIP réel contenant une archive .CAB - regroupant une application logicielle légitime - un injecteur et le cheval de Troie. Le logiciel malveillant est caché dans un grand fichier image .BMP. Si l'application est exécutée, l'injecteur est chargé et le malware est ensuite décrypté à l'aide d'un algorithme XOR et d'une clé.

Une fois installé sur une machine cible, Numando crée de fausses fenêtres superposées lorsque la victime visite des services financiers. Si les utilisateurs soumettent leurs informations d'identification, celles-ci sont volées et envoyées au serveur de commande et de contrôle (C2) du malware.

Numando utilise également des services publics tels que Pastebin et YouTube pour gérer ses paramètres de configuration à distance.

Numando est également capable de simuler les clics de souris et les actions du clavier, de détourner les fonctions d'arrêt et de redémarrage du PC, de prendre des captures d'écran et de tuer les processus du navigateur.

Google a été informé des vidéos trouvées par l'équipe de cybersécurité et celles qui ont été détectées ont depuis été retirées.

L'équipe ESET ont déclaré que : "Contrairement à la plupart des autres chevaux de Troie bancaires d'Amérique latine couverts dans cette série, Numando ne montre pas de signes de développement continu. Et qu’Il y a quelques changements mineurs de temps en temps, mais dans l'ensemble, les binaires n'ont pas tendance à changer beaucoup".

Il est fortement recommandé de rester vigilant quant à l’ouverture de pièces jointes ou de liens dans des emails suspects ou l’introduction d’informations sensibles sur les sites web non protégés.