Notícias

Alerta: Malware Numando usa YouTube para atacar serviços bancários do utilizadores

17 Comentários

Cada vez os utilizadores utilizam mais os seus computadores e smartphones para as operações bancárias. Pagamentos, transferências, consultas de saldo e carregamentos, são operações do dia a dia e é esse tipo de alvo que o malware Numando quer atacar.

Segundo a empresa de segurança ESET, este trojan bancário afeta principalmente o Brasil, mas também outros países de língua portuguesa e espanhola, incluindo Portugal.

Imagem malware bancário


Malware procura atacar as contas bancárias dos utilizadores

O Numando é semelhante a outras famílias de malware do mesmo género, que recorrem a janelas falsas, funcionalidade de backdoor e abuso de serviços públicos como o YouTube para armazenar a sua configuração remota.

Os cibercriminosos por detrás desta família de malware estão ativos desde pelo menos 2018.

Embora o Numando não esteja ao nível de atividade de outros trojans como o Mekotio ou Grandoreiro, tem sido consistentemente utilizado desde que o começámos a monitorizar, trazendo novas e interessantes técnicas ao conjunto de truques dos trojan bancários cujos alvos são países de língua portuguesa e espanhola.

Disse Jakub Souček, coordenador da equipa ESET que analisou o Numando.

Imagem esquema de ataque malware Numando

 

Trojan que fica com “acesso completo” ao computador

As capacidades de backdoor do Numando permitem-lhe simular ações do rato e teclado, reiniciar e desligar a máquina infetada, exibir janelas falsas, tirar capturas de ecrã e fechar processos do browser. O malware recorre a janelas falsas para roubar dados sensíveis das suas vítimas.

No que toca a técnicas novas, o Numando usa ficheiros ZIP aparentemente inúteis ou imagens BMP anormalmente grandes que estão armazenadas num ZIP criptografado dentro das suas secções .rsrc para esconder a carga maliciosa. Estes ficheiros BMP parecem ser legítimos à primeira vista, e as imagens até podem ser abertas num visualizador sem apresentar erros.

Este tipo de malware, como o Numando, é distribuído quase exclusivamente por spam. Assim, sempre que desconfiar que algum email não lhe é familiar, das suas relações sociais ou profissionais, mantenha o alerta para estes indícios.

Como muitos outros trojans bancários do seu tipo, o Numando aproveita-se de serviços públicos para armazenar a sua configuração remota, YouTube e Pastebin neste caso. A Google removeu os vídeos do YouTube em questão com base no alerta da ESET.

 

Conclusão

Portanto, Numando é um trojan bancário latino-americano escrito em Delphi. Ele tem como alvo principalmente o Brasil, Portugal, Espanha e outros países de língua espanhola.

Conforme já foi referido, e para sintetizar, este malware é semelhante às outras famílias descritas do mesmo naipe – usa janelas de sobreposição falsa, contém funcionalidade backdoor e utiliza MSI.

PUB
Autor: Vítor M.
Partilhar:
Tags:
malware Numando trojan

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Chegaram as vendas de outono da GoDeal24: chave digital Windows 10 por €7,35
Artigo anterior

Chegaram as vendas de outono da GoDeal24: chave digital Windows 10 por €7,35
Hot Wheels Unleashed: opções de personalização para todos os gostos
Próximo artigo

Hot Wheels Unleashed: opções de personalização para todos os gostos
PUB

Comentários

17

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Carlos Santos
    Carlos Santos

    Na mail entendi as precauções a tomar. E no Youtube – Como é que sei se o vídeo é perigoso?

    Responder
    1. Avatar de na
      na

      Os videos nao sao perigosos. O titulo ou outro campo livre para inserção de informação(comentarios, descricao, etc) nesse video, pode conter conteudo encripado usado por este malware. Se nao tiveres infectado pelo o malware nao tem stress…

      Responder
  2. Avatar de Wilson
    Wilson

    Eu não sei ler. Não entendi como o Youtube é usado por criminosos. Vou ficar sem usar esse serviço publico para evitar problemas futuros.

    Responder
    1. Avatar de na
      na

      E usado como ferramenta por este malware. O meu comentario anterior pode ajudar a esclarecer

      Responder
  3. Avatar de agamotto
    agamotto

    “Geographically, it focuses almost exclusively on Brazil with rare campaigns in Mexico and Spain.”

    Não fala em Portugal…

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Mas os dados da ESET Portugal falam, foi a partir dessa informação que foi acrescentado Portugal (e não só) à lista.

      Responder
      1. Avatar de agamotto
        agamotto

        Poderiam incluir então o link para essa informação.

        Responder
  4. Avatar de rjSampaio
    rjSampaio

    Em vez de “alerta” se usassem “insolito” ainda vá, porque rigorosamente ninguem têm de ficar em alerta ou preocupado com o youtube (sem ser o proprio youtube ;P)

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Alertar para estes “engodos”. Não só no YouTube como noutras plataformas podem estar “disfarçados” estes tipos de malware e é na forma mais “inocente” que se consegue ficar vulnerável. Alertar para desconfiarem de situações descritas pela empresa de segurança. Atualmente isso já não tem nada de insólito.

      Responder
      1. Avatar de Fran
        Fran

        Não há nenhum engodo no YouTube neste caso. Serve apenas um propósito, o de repositório de configuração de fácil acesso, extremamente fiável e não dá muito nas vistas, tendo em conta o volume de acessos que tem e o volume de dados que são transferidos.
        Até podiam usar aqui o Pplware, na zona dos comentários, mas não estariam nas condições que descrevi acima sobre o YouTube.
        Quem diz YouTube, diz qualquer site de uso massivo na região.

        Responder
        1. Avatar de Vítor M.
          Vítor M.

          É esse o engodo. O acesso fácil e massivo. E sim, a empresa de segurança fala noutros serviços também. Mas não é em todos, há alguns escolhidos pela facilidade, por isso não existe em todos e muitos maiores que o YouTube, por exemplo.

          Responder
  5. Avatar de na
    na

    https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/

    Partilho um artigo com mais detalhes.

    Responder
  6. Avatar de Asbrubal
    Asbrubal

    É um virus zuca, só os zuca desenvolvem em delphi.

    Responder
  7. Avatar de Davi
    Davi

    É possivel espalhar pelo WhatsApp ou Telegram? Delphi é tão anos 90.

    Responder
  8. Avatar de Sem Nome :)
    Sem Nome 🙂

    Obrigado pelo alerta! : ) Lição para mim: manter APPs atualizadas, não guardar informações secretas no tele, não abrir links dos vídeos sem certezas, manter a segurança reforçada por APPs de segurança e autenticação por dois passos.

    Responder
    1. Avatar de rjSampaio
      rjSampaio

      mas qual alerta?!?!

      relativamente este “alerta”, tu como utilizador do youtube não tens rigorosamente nenhum perigo…

      Responder
      1. Avatar de Sem Nome :)
        Sem Nome 🙂

        “Alerta: Malware Numando usa YouTube para atacar serviços bancários do utilizadores”

        Eu só partilhei as minhas ações continuas de proteção de segurança no mundo online. Cada um faça o que quiser… Além disso, queres acredites ou não, eu nunca acreditei que poderia ser roubado só por abrir links… E não é que um dia aparece um anúncio (falso em nome da MEO) no YT, eu abro e clico num botão e, sem fornecer qualquer info minha e abri no navegador anónimo, começaram-me a cobrar dinheiro pelo meu número? Foi por curiosidade ‘-‘ (Felizmente, pedi e a minha operadora cancelou essa compra semanal) Infelizmente, mesmo que sejam pouquíssimas as vítimas, há sempre maneira de alguém ser roubado.

        Por isso, lamento mas acabo por não concordar com: “não tens rigorosamente nenhum perigo…” Obrigado ; ), mesmo assim prefiro sempre manter um pé atrás. Inclusive, uma das opções de denúncias de vídeos e anúncios é precisamente ‘ser fraudulenta’.

        Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.