មេរោគធនាគារ Trojan ត្រូវបានគេចាប់បានថាបានប្រើ platforms ដូចជា YouTube and Pastebin ដើម្បីធ្វើកូដនីយកម្ម បញ្ជាពីចម្ងាយ (remote configuration) និងបញ្ជាប្រព័ន្ធ Windows ដែលឆ្លង មេរោគ មេរោគនេះមានគោលដៅឆ្ពោះទៅរក អាមេរិកឡាទីន (LATAM) បន្ទាប់ពី Guildma, Javali, Melcoz, Grandoreiro, Mekotio, Casbaneiro, Amavaldo, Vadokrist, and Janeleiro។
អ្នកវាយប្រហារនៅពីក្រោយគ្រួសារមេរោគនេះមានឈ្មោះថា “Numando” ត្រូវបានបង្កើតឡើងតាំងពី ឆ្នាំ២០១៨។
“មេរោគ “Numando” បាននាំមកនូវជាមួយនឹងបច្ចេកទេសថ្មីបោកប្រាស់ធនាគារនៅអាមេរិកឡាទីន ដូចជាការប្រើ useless ZIP archives or bundling payloads ជាមួយនឹងរូបភាព BMP” បើយោងតាម អ្នកស្រាវជ្រាវបានថ្លែងនៅក្នុងការបោះផ្សាយការវិភាគកាលពីថ្ងៃសុក្រ។ “មេរោគនេះផ្តោតទៅលើ ប្រេស៊ីល ម៊ិចស៊ីកូ និងអេស្បាញ”។
ត្រូវបានសរសេរជា Delphi មេរោគនេះមកជាមួយនូវសមត្ថភាព backdoor ដែលធ្វើឱ្យវាអាចគ្រប់គ្រង លើម៉ាស៊ីនដែលបានសម្របសម្រួល បញ្ជាលើ mouse and keyboard, restart and shutdown the host, display overlay windows, capture screenshots, និងបញ្ចប់ដំណើរការ browser។ Numando ត្រូវបានផ្សព្វផ្សាយដោយក្រុមការងារបោកបញ្ឆោត រហូតមកដល់ពេលនេះមានជនរងគ្រោះរាប់រយ នាក់ បើយោងតាមទិន្នន័យរបស់ក្រុមហ៊ុនសន្តិសុខ។
ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងសារបញ្ឆោត (phising message) ដែលបង្កប់នៅក្នុង ZIP attachment មាន MSI installer ដែលរួមមាន cabinet archive ជាមួយនឹងកម្មវិធីស្របច្បាប់, injector, and encrypted Numando banking Trojan DLL។ ដំណើរការ MSI នាំទៅកាន់ដំណើរការកម្មវិធី បណ្តាលឱ្យ injector module នៅ side-loaded and decrypted the final-stage malware payload។
នៅក្នុងការផ្លាស់ប្តូរដែលត្រូវបានតាមដានដោយ ESET មេរោគនេះស្ថិតនៅក្នុងទម្រង់ ”គួរឱ្យសង្ស័យ” ប៉ុន្តែ valid BMP image file ពី injector extracts និងដំណើរការមេរោគ Numando។ អ្វីដែលធ្វើឱ្យ មេរោគនេះលេចធ្លោគឺការប្រើ YouTube video titles and descriptions តែឥឡូវនេះត្រូវបាន ដោះស្រាយ ដើម្បីរក្សាទុកដូចជា IP address របស់ command and control server។
មេរោគនេះបើ overlay windows ក្លែងក្លាយ ដែលមានតួនាទី backdoor និងប្រើ MSI (installer) បើយោងតាមសំដីរបស់អ្នកស្រាវជ្រាវ។ វាគឺជាមេរោគ LATAM banking Trojan ដែលសរសេរនៅក្នុង ទម្រង់ Delphi ហើយប្រើ non-Delphi injector និងវាបញ្ជាពីចម្ងាយតែមួយគត់ ដោយសារកត្តាទាំងពីរ នេះ គេអាចស្គាល់ពីគ្រួសាររបស់មេរោគនេះ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែកញ្ញា ឆ្នាំ២០២១
ប្រែសម្រួលដោយ៖ កញ្ញា
