Numando es un troyano bancario altamente avanzado que se despliega principalmente a través de campañas de phishing y correos electrónicos maliciosos que contienen archivos adjuntos o enlaces comprometidos. Una vez ejecutado, Numando establece una persistencia en el sistema afectado mediante la modificación de entradas en el registro de Windows y la creación de tareas programadas, garantizando su ejecución continua incluso después de reinicios. El malware está diseñado para capturar información bancaria y credenciales de acceso a través de la inyección de código en navegadores web y la implementación de keyloggers que registran las pulsaciones de teclas de la víctima. Numando también se comunica con servidores de comando y control (C2) cifrados para recibir instrucciones adicionales y descargar módulos complementarios que amplían sus capacidades, como la captura de capturas de pantalla y la exfiltración de datos sensibles. Su funcionalidad modular le permite adaptarse a diferentes objetivos y tácticas, haciendo que sea particularmente difícil de detectar y eliminar. Además, Numando emplea técnicas avanzadas de ofuscación para evadir detección por parte de soluciones de seguridad, y su capacidad para actualizarse de forma autónoma le permite mantenerse eficaz contra nuevas defensas y mecanismos de detección.

Funcionamiento

Numando es un troyano bancario altamente sofisticado con un funcionamiento complejo que lo hace efectivo en la infiltración y explotación de sistemas. Su funcionamiento se basa en una serie de etapas y técnicas avanzadas para asegurar una infección persistente y efectiva.

1. Distribución y Entrega: Numando se propaga principalmente a través de campañas de phishing, en las que los atacantes envían correos electrónicos maliciosos que contienen archivos adjuntos infectados, como documentos de Word o archivos comprimidos, o enlaces a sitios web comprometidos. Estos archivos suelen tener macros o scripts maliciosos que, al ser activados por el usuario, descargan e instalan Numando en el sistema objetivo.

2. Instalación y Persistencia: Una vez que Numando se ejecuta, realiza una serie de acciones para establecer persistencia en el sistema. Esto incluye la modificación de claves del registro de Windows para asegurar que el malware se ejecute automáticamente al iniciar el sistema. También puede crear tareas programadas y añadir entradas en las carpetas de inicio para garantizar su persistencia. Estas técnicas aseguran que Numando permanezca activo incluso después de reinicios o intentos de eliminación iniciales.

3. Evasión de Detección: Numando emplea técnicas avanzadas de ofuscación para evitar la detección por parte de software antivirus y soluciones de seguridad. Utiliza cifrado y empaquetado para ocultar su código malicioso y dificultar su análisis. Además, puede emplear técnicas de inyección de código en procesos legítimos del sistema operativo para evitar la detección directa y ejecutar sus funciones maliciosas en un entorno aparentemente limpio.

4. Captura de Credenciales y Datos: Una de las funciones principales de Numando es el robo de credenciales bancarias y otra información sensible. Para ello, utiliza inyección de código en navegadores web y otros programas relacionados con transacciones financieras, interceptando datos introducidos por la víctima. También puede implementar keyloggers que registran las pulsaciones de teclas para capturar información confidencial, como contraseñas y números de tarjetas de crédito.

5. Comunicación con Servidores C2: Numando mantiene comunicación constante con servidores de comando y control (C2) para recibir instrucciones y enviar datos robados. Utiliza comunicaciones cifradas para proteger la integridad y privacidad de los datos transmitidos. Los servidores C2 pueden enviar comandos para actualizar el malware, descargar nuevos módulos o modificar su comportamiento según las necesidades de la campaña maliciosa en curso.

6. Funcionalidades Modulares: El troyano está diseñado con una arquitectura modular que le permite descargar e instalar componentes adicionales según las necesidades del ataque. Estos módulos pueden incluir herramientas adicionales para el robo de datos, capturas de pantalla, y exfiltración de información. Esta modularidad le permite adaptarse a diferentes objetivos y tácticas, ampliando su capacidad para explotar sistemas comprometidos.

7. Propagación en Red: En algunos casos, Numando puede tener capacidades de propagación en red, utilizando credenciales robadas y vulnerabilidades en la red para moverse lateralmente a través de la infraestructura de TI de la víctima. Esto permite a los atacantes comprometer múltiples sistemas dentro de una organización, aumentando el alcance y el impacto del ataque.

Impacto y consecuencias

El impacto y las consecuencias de una infección por Numando pueden ser severos y extensos, afectando a las víctimas de múltiples maneras y provocando daños significativos a nivel financiero, operativo y reputacional. A continuación, se describen los efectos y las repercusiones más destacadas de este troyano bancario:

1. Robo de Credenciales y Fraude Financiero:

Numando está diseñado principalmente para robar credenciales bancarias y otra información financiera sensible. Su capacidad para inyectar código en navegadores web y capturar datos introducidos por la víctima, junto con la implementación de keyloggers para registrar pulsaciones de teclas, permite a los atacantes obtener información confidencial como nombres de usuario, contraseñas, y números de tarjetas de crédito. Las consecuencias pueden incluir el acceso no autorizado a cuentas bancarias, el uso indebido de tarjetas de crédito, y la realización de transacciones fraudulentas. Los afectados pueden enfrentar pérdidas financieras directas y costosos procesos para recuperar sus fondos y restablecer el acceso a sus cuentas.

2. Persistencia y Dificultad de Eliminación:

Una vez que Numando infecta un sistema, establece mecanismos de persistencia avanzados para asegurar su continuidad y funcionamiento a largo plazo. La modificación de registros de Windows, la creación de tareas programadas, y la inyección de código en procesos legítimos dificultan su detección y eliminación. La persistencia del malware puede resultar en una larga exposición a la amenaza, lo que permite a los atacantes seguir recopilando datos y desplegando malware adicional. Esto puede requerir esfuerzos intensivos y costosos para limpiar completamente el sistema y restaurar la seguridad.

3. Propagación y Compromiso de Infraestructura:

Numando puede tener capacidades de propagación que permiten moverse lateralmente dentro de una red comprometida. Utiliza credenciales robadas y explota vulnerabilidades para comprometer otros sistemas dentro de la infraestructura de TI de la víctima. La propagación en red aumenta el alcance del ataque, permitiendo a los atacantes comprometer múltiples sistemas y obtener control sobre la infraestructura completa de la organización. Esto puede llevar a una disrupción significativa de las operaciones y una expansión del impacto del ataque.

4. Daños Financieros y Costos Operativos:

Los costos asociados con una infección por Numando son considerables. Las organizaciones pueden enfrentar gastos relacionados con la respuesta al incidente, como la eliminación del malware, la restauración de sistemas desde copias de seguridad, y la implementación de medidas de seguridad adicionales para prevenir futuros ataques. En caso de que el malware cause pérdidas financieras directas a través del robo de información, las víctimas también deben gestionar la compensación de los daños y la recuperación de fondos. Los costos operativos también pueden incluir la pérdida de productividad y la interrupción de las actividades comerciales debido a la necesidad de abordar la infección y reparar los sistemas afectados.

5. Impacto en la Reputación:

El impacto reputacional de una infección por Numando puede ser severo, especialmente para organizaciones que manejan información sensible o que operan en sectores críticos. La divulgación pública de una brecha de seguridad puede dañar la confianza de clientes, socios comerciales, y accionistas. La pérdida de reputación puede resultar en una disminución del valor de las acciones, la pérdida de clientes, y la dificultad para atraer nuevos negocios. Además, las organizaciones pueden enfrentar la presión de cumplir con regulaciones de privacidad y seguridad, lo que puede implicar sanciones y daños adicionales a su imagen pública.

6. Exfiltración y Uso de Datos Robados:

La exfiltración de datos sensibles recopilados por Numando puede ser utilizada para realizar ataques adicionales, como el robo de identidad, el espionaje corporativo, y el chantaje. Los datos robados pueden ser vendidos en mercados clandestinos o utilizados para realizar ataques dirigidos contra otras entidades. Esto amplifica el impacto del ataque y puede tener consecuencias a largo plazo para las víctimas y sus clientes.

7. Vulnerabilidad a Futuros Ataques:

Una red comprometida por Numando puede quedar expuesta a futuras amenazas, ya que los atacantes pueden haber dejado puertas traseras u otros mecanismos de acceso ocultos. Estas puertas traseras pueden ser utilizadas por otros actores maliciosos para realizar ataques adicionales, robar más datos o comprometer aún más la infraestructura de TI. Además, la infección puede exponer vulnerabilidades en la infraestructura de TI de la organización, que pueden ser explotadas por futuros atacantes.

Origen y motivación

Numando, también conocido como Amadey, surgió como un troyano bancario con el objetivo de robar información financiera y credenciales de acceso a través de sofisticadas técnicas de phishing y malware. Su origen se remonta a los esfuerzos de ciberdelincuentes interesados en explotar vulnerabilidades en sistemas informáticos para obtener beneficios económicos. La motivación principal detrás de Numando es monetaria; los desarrolladores del malware buscan generar ingresos a través del robo de datos bancarios, acceso a cuentas financieras y la venta de acceso a redes comprometidas a otros actores maliciosos. Su diseño modular y sus capacidades avanzadas permiten una adaptabilidad y escalabilidad que responden a las demandas y cambios en el panorama de amenazas, reflejando una estrategia de lucro basada en la explotación y el fraude financiero.