Uma nova família de malware latino-americano tem como alvo as instituições bancárias do Brasil, México e Espanha. O Numando é capaz de controlar remotamente o computador do usuário, permitindo que um atacante realize as operações, além de exibir campos falsos na tela, de forma que a vítima seja impelida a entregar credenciais e outros dados pessoais que permitam as fraudes.
O alerta para uma ameaça com “muitas possibilidades” é dos especialistas em segurança da ESET, que revelaram algumas das opções disponíveis para os controladores da praga. Os criminosos usam sites legítimos, como vídeos no YouTube ou publicações de códigos no Pastebin, para hospedar os comandos que são acessados pelo Numando, levando às diferentes ações que podem ser realizadas com ele de acordo com a necessidade do momento.
Páginas e e-mails de phishing servem como o vetor inicial, com um arquivo em formato ZIP que realiza a instalação do trojan — também foram encontrados casos em que a entrega maliciosa aconteceu a partir de imagens no formato BMP. Na sequência, de acordo com os controles recebidos, o Numando pode controlar o mouse e o teclado diretamente, realizar ações no computador ou permanecer sorrateiro, exibindo sobreposições que impedem o acesso da vítima a sites legítimos, realizar capturas de tela de domínios determinados, eliminar processos relacionados a softwares de segurança e capturar as credenciais, que podem ser utilizadas para manipulação indevida de contas e serviços financeiros.
“É como se um ladrão invadisse uma casa, instalasse câmeras ocultas, grampeasse os telefones e ainda fizesse uma passagem oculta”, explica Luli Rosenberg, hacker ético e professor da CySource, centro de referência e pesquisa em cibersegurança. Ele aponta também a utilização dos dados e informações obtidas além das fraudes bancárias e também em casos de extorsão, chantagens ou acesso a sistemas sigilosos de grandes empresas.
Apesar da atuação internacional, o foco principal do Numando é o Brasil, com as campanhas focadas nos países de língua espanhola sendo citadas como raras pela ESET. Por outro lado, se trata de um malware que parece ainda estar sem seus estágios iniciais, com o alerta da empresa de segurança também envolvendo denúncias sobre os vídeos e páginas usados para controle da praga, que foram retirados do ar pelos serviços — nada impede, claro, que novos possam surgir para envio de ordens a novas instâncias do trojan.
Ainda que tenha uma atuação mais sofisticada, a higiene normal de segurança digital pode servir para impedir uma contaminação. Como o Numando costuma chegar por e-mails de phishing, o ideal é que os usuários não cliquem em links que cheguem por correio eletrônico ou mensageiros instantâneos, sempre avaliando remetentes e a veracidade das informações caso isso seja necessário.
Rosenberg também cita a conscientização de usuários como um caminho para evitar ataques, com iniciativas que expliquem o perigo e auxiliem a separar mensagens fraudulentas das reais. O professor cita ainda o trabalho ao lado das plataformas, que podem manter sistemas de varredura que tirem do ar publicações usadas para controle de forma automática, quebrando, assim, uma das pernas essenciais para o funcionamento das campanhas maliciosas. (Fonte: ESET).