提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

已检测到一个银行特洛伊木马，该木马滥用YouTube、Pastebin和其他公共平台，以传播和控制受损机器。

上周五，ESET完成了一系列关于拉丁美洲存在的银行特洛伊木马的研究，包括Janeleiro，一个新的恶意软件样本，类似于Grandoreiro的Casbaneiro，还有湄公河——但这一次不仅袭击了那个地区；相反，在巴西、墨西哥和西班牙都发现了这些活动

在一篇博客文章中，网络安全研究人员表示，名为Numando的特洛伊木马自2018年以来一直处于活动状态。该金融恶意软件是用Delphi编写的，它显示虚假的覆盖窗口，诱骗受害者提交敏感数据，例如用于访问金融服务的凭据

正如许多银行特洛伊木马变种一样，Numando几乎“完全”通过垃圾邮件和网络钓鱼活动传播，ESET说。

这些尝试并不十分复杂，截至撰写本文时，追踪到的受害者不超过几百人。因此，与其他拉丁美洲特洛伊木马（包括Mekotio和Grandoreiro）相比，Numando似乎“不太成功”。

很可能是运营商缺乏成熟度导致感染率低。在最近的活动中，发送到分发Numando的垃圾邮件由钓鱼邮件和电子邮件中包含的.ZIP附件组成。

下载了一个诱饵.ZIP文件，以及一个实际的.ZIP文件，其中包含一个.CAB存档（与合法软件应用捆绑在一起）、一个注入器和特洛伊木马。恶意软件隐藏在一个大的.BMP图像文件中，其示例如下：

如果执行软件应用程序，则注入器侧面加载，然后使用XOR算法和密钥解密恶意软件

一旦安装到目标机器上，Numando将在受害者访问金融服务时创建假覆盖窗口。如果用户提交他们的凭据，他们将被窃取并发送到恶意软件的指挥和控制（C2）服务器。

Numando还滥用公共服务，包括Pastebin和YouTube来管理其远程配置设置。

“格式很简单——三个条目之间用“：“数据之间：{和}标记，”ESET解释道。每个条目都以与Numando中其他字符串相同的方式单独加密，密钥以二进制形式硬编码。这使得在没有相应的二进制文件的情况下很难解密配置，但是Numando不经常更改其解密密钥，从而使解密成为可能

谷歌得知网络安全团队发现的视频，被检测到的视频已被删除。

YouTube远程配置上传示例

Numando还能够模拟鼠标点击和键盘动作，劫持电脑关机和重启功能，拍摄屏幕截图，并杀死浏览器进程。

“与本系列中涉及的大多数其他拉丁美洲银行特洛伊木马不同，Numando没有显示出持续发展的迹象，”ESET说。“有时会有一些小的变化，但总的来说二进制文件不会有太大的变化。”

在最近的其他特洛伊木马新闻中，5月份，卡巴斯基揭露了Bizarro，一个最近在欧洲发现的多产特洛伊木马。比扎罗已经在包括巴西、阿根廷和智利在内的至少70家国家的银行中磨练了客户，但现在似乎专注于欧洲受害者。

之前及相关报道Bizarro银行特洛伊木马在欧洲各地激增，与Janeleiro会面：一家新的银行特洛伊木马攻击公司，政府将谷歌Play上的恶意应用作为目标，在用户设备上投放银行特洛伊木马

有什么提示吗？通过WhatsApp | Signal（电话+447713 025 499）或Keybase:charlie0对航空业的网络攻击（与尼日利亚威胁行为人有关）安全联系，研究发现，Linux系统中的网络犯罪分子可以通过检查配置来阻止三分之二的云攻击

2023-03-22 10:04:44