numando - RunkIntel

# Numando > Tipo: **banking trojan** · Familia LATAM (ESET serie) · [ESET WeLiveSecurity](https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/) > [!info] O Nome Veio dos Números > O Numando recebeu seu nome de uma peculiaridade técnica: ao contrario de todos os outros trojans LATAM que usam strings como comandos, o Numando define seus comandos como **números**. Essa escolha inusitada foi o criterio que levou a ESET a batiza-lo assim. Ativo desde 2018, o Numando nunca demonstrou evolução técnica continua - mas persistiu por anos com campanhas focadas principalmente no Brasil. ## Visão Geral [[numando|Numando]] e um banking trojan de origem **brasileira**, escrito em **Delphi**, identificado pela ESET como um dos 11 banking trojans latino-americanos que operam de forma coordenada. Ativo desde pelo menos 2018, foca quase exclusivamente em vitimas no Brasil, com campanhas raras no Mexico e Espanha. O Numando possui duas técnicas técnicas inovadoras que o diferenciam no ecossistema LATAM: 1. **Payload embutido em imagem BMP válida** - o malware e ocultado no overlay de um arquivo BMP que pode ser aberto normalmente em qualquer visualizador de imagens 2. **Configuração remota via YouTube e Pastebin** - usa plataformas públicas para armazenar configuracoes de C2, similar ao [[casbaneiro|Casbaneiro]] mas de forma menos sofisticada Apesar de ser considerado menos prolixo que [[s0531-grandoreiro|Grandoreiro]] ou [[mekotio|Mekotio]], o Numando manteve atividade consistente por anos. Suas campanhas afetam tipicamente centenas de vitimas por vez - consideravelmente menor que as familias mais prevalentes. **Caracteristicas técnicas distintas:** - Comandos C2 definidos como **números**, nao strings (caracteristica única entre trojans LATAM Delphi) - Payload embutido no **overlay** de imagem BMP válida - arquivo pode ser aberto normalmente - Criptografia compartilhada com [[casbaneiro|Casbaneiro]], [[s0531-grandoreiro|Grandoreiro]], [[guildma|Guildma]], [[mekotio|Mekotio]] e [[zumanek|Zumanek]] (mesmo algoritmo em 6 familias) - Injector nao-Delphi - único entre os trojans LATAM Delphi que usa injector em linguagem diferente - Backup de config via **Pastebin** alem do YouTube - VMProtect ou Themida para proteção do payload **Relevância Brasil:** Foco primario no Brasil desde 2018. Campanhas tipicamente de centenas de vitimas - menor alcance que Grandoreiro, mas persistentemente ativo. Compartilha o algoritmo de criptografia com 5 outras familias da serie ESET - evidência direta de cooperação técnica. ## Como Funciona ### Cadeia de Distribuição com BMP A técnica de payload em imagem BMP e o diferencial tecnico mais notavel do Numando: 1. Email de spam com arquivo ZIP em anexo 2. ZIP contem um segundo ZIP aparentemente "inutil" 3. O segundo ZIP contem: executavel legitimo assinado + injector + **imagem BMP suspeitamente grande** 4. O downloader extrai o conteudo e executa o aplicativo legitimo 5. O aplicativo legitimo carrega o injector via DLL side-loading 6. O injector extrai o payload Numando do **overlay da imagem BMP** e o executa A imagem BMP e técnicamente válida - pode ser aberta em qualquer visualizador sem problema. O overlay (dados após o final da imagem) simplesmente e ignorado por softwares comuns de visualizacao. Apenas o injector sabe onde e como extrair e executar o payload oculto. ### Configuração Remota via Plataformas Publicas Como [[casbaneiro|Casbaneiro]], o Numando abusa de plataformas públicas para armazenar configuracoes: - **YouTube**: configuração de C2 armazenada em descrição ou comentarios de videos (Google removeu os videos rapidamente após notificação da ESET) - **Pastebin**: alternativa de backup para configuracoes de C2 Essa abordagem e menos sofisticada que o Casbaneiro (que codifica melhor a config), mas eficaz como mecanismo de redundancia. ### Backdoor e Comandos Numericos As funcionalidades de backdoor incluem: - Simular acoes de mouse e teclado - Reiniciar e desligar a maquina - Exibir jánelas overlay de sobreposicao para bancos - Capturar screenshots - Encerrar processos de browser Todos os comandos sao identificados por **números**, nao por strings nomeadas - comportamento contrario a todos os outros trojans da serie ESET LATAM. ## Attack Flow ```mermaid graph TB A["Email de Spam ZIP como anexo Tema fiscal ou corporativo"] --> B["ZIP Duplo ZIP externo com ZIP interno aparentemente vazio"] B --> C["Conteudo Extraido EXE assinado + Injector Imagem BMP gigante"] C --> D["DLL Side-Loading App legitimo carrega injector via DLL"] D --> E["Extração do Payload BMP Injector le overlay da imagem Payload Numando extraido"] E --> F["Config via YouTube Numando busca configuração em plataformas publicas"] F --> G["Monitoramento de Jánelas Aguarda titulo de banco alvo ser detectado"] G --> H["Overlay Falso Jánela específica para banco Credenciais capturadas via C2"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef loader fill:#e67e22,stroke:#d35400,color:#fff classDef payload fill:#f39c12,stroke:#d68910,color:#fff classDef c2 fill:#3498db,stroke:#2980b9,color:#fff classDef monitor fill:#27ae60,stroke:#229954,color:#fff classDef exfil fill:#2c3e50,stroke:#1a252f,color:#fff class A phishing class B,C loader class D,E payload class F c2 class G monitor class H exfil ``` ## Linha do Tempo ```mermaid timeline title Historia do Numando 2018 : Primeiras amostras detectadas : Foco exclusivo no Brasil : ESET inicia rastreamento 2020 : ESET VB2020 - listado entre 11 familias LATAM : Algoritmo de criptografia compartilhado documentado : Técnica BMP overlay identificada 2021 : ESET publica análise completa em setembro : "Numando - Count once, code twice" : YouTube como C2 config confirmado : Campanhas raras no Mexico e Espanha 2024 : Continua ativo em telemetria com foco no Brasil : Campanhas de centenas de vitimas por vez ``` | Período | Evento | |---------|--------| | 2018 | Primeiras amostras Numando detectadas - Brasil como alvo primario | | Out/2020 | ESET VB2020 - Numando entre os 11 trojans bancarios LATAM | | Set/2021 | ESET pública "Numando: Count once, code twice" - análise completa | | 2021 | YouTube e Pastebin como C2 config documentados; Google removeu videos | | Dez/2021 | ESET confirma Numando ativo entre as 8 familias operacionais | ## TTPs Mapeados | Tática | Técnica | Uso pelo Numando | |--------|---------|-----------------| | Resource Development | T1583.001 | Registro de dominios para infraestrutura C2 | | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spam com ZIP contendo payload em dois estagios | | Execution | [[t1204-002-user-execution-malicious-file\|T1204.002]] | Vitima executa arquivo MSI distribuido por email | | Defense Evasion | [[t1140-deobfuscate-decode-files\|T1140]] | Payload oculto no overlay de imagem BMP válida; strings criptografadas | | Defense Evasion | [[t1574-002-dll-side-loading\|T1574.002]] | App legitimo executa Numando via side-loading | | Defense Evasion | [[t1027-002-software-packing\|T1027.002]] | Algumas variantes empacotadas com VMProtect ou Themida | | Execution | [[t1218-007-msiexec\|T1218.007]] | MSI como método de distribuição primario | | Command and Control | [[t1102-web-service\|T1102]] | Configuração C2 armazenada em YouTube e Pastebin | | Discovery | [[t1010-application-window-discovery\|T1010]] | Monitoramento de jánelas em primeiro plano para detectar bancos | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta versao e bitness do Windows da vitima | | Collection | [[t1113-screen-capture\|T1113]] | Screenshots durante ataques bancarios | | Command and Control | [[t1132-002-non-standard-encoding\|T1132.002]] | Criptografia customizada para comunicação C2 | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 | ## Relevância LATAM/Brasil > [!warning] Técnica BMP - Inovacao Brasileira no Ecossistema LATAM > O Numando introduziu ao ecossistema LATAM a técnica de ocultar payloads em overlays de imagens BMP válidas. Esta abordagem e eficaz porque ferramentas de análise estática tipicamente nao analisam imagens como conteudo executavel. O arquivo BMP pode ser aberto normalmente em visualizadores sem qualquer alerta - apenas o injector específico sabe como extrair o payload do overlay. > [!info] Algoritmo de Criptografia Compartilhado - Evidência de Cooperação > O Numando usa o mesmo algoritmo de criptografia customizado presente em Casbaneiro, Grandoreiro, Guildma, Mekotio e Zumanek - seis familias distintas. Este compartilhamento nao e coincidencia: a ESET documentou que estes grupos estao em contato e compartilham TTPs ativamente. O algoritmo e tao específico que sua presenca em múltiplas familias funciona como fingerprint de cooperação. **Setores impactados:** - [[financial|Financeiro]] - bancos brasileiros como alvo primario; raros ataques em Mexico e Espanha ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **BMP Oversized:** Monitorar imagens BMP com tamanho desproporcional ao conteudo visual; payloads tipicamente inflam o arquivo para varios MB > - **Numeric Commands:** Trafego C2 com comandos numericos em vez de strings nomeadas - padrao de assinatura Numando > - **YouTube HTTP:** Processo Delphi fazendo GET request para URLs do YouTube fora de browser - indicativo de config C2 > - **Pastebin C2:** Monitorar processos acessando raw.githubusercontent ou pastebin.com para configuração em tempo de execução > - **Double ZIP:** MSI que extrai ZIP e dentro deste um segundo ZIP - cadeia de distribuição caracteristica **Controles recomendados:** - Bloquear execução de MSI de origens externas via AppLocker ou WDAC - Implementar [[m1038-execution-prevention|M1038]] - restricao de execução de aplicativos desconhecidos - Monitorar acesso a plataformas públicas (YouTube, Pastebin) por processos Delphi suspeitos - [[m1017-user-training|M1017]] - conscientizacao sobre spam com ZIP duplos ## Referências - [1](https://www.welivesecurity.com/2021/09/17/numando-latam-banking-trojan/) ESET WeLiveSecurity - Numando: Count once, code twice (2021) - [2](https://web-assets.esetstatic.com/wls/en/papers/white-papers/ESET_LATAM_financial_cybercrime.pdf) ESET - LATAM Financial Cybercrime: Competitors-in-crime sharing TTPs (2020) - [3](https://vblocalhost.com/uploads/VB2020-Soucek-Jirkal.pdf) Virus Bulletin 2020 - LATAM financial cybercrime: competitors-in-crime sharing TTPs (2020) - [4](https://www.welivesecurity.com/2021/12/15/dirty-dozen-latin-america-amavaldo-zumanek/) ESET WeLiveSecurity - The dirty dozen of Latin América (2021) - [5](https://duo.com/decipher/eset-identifies-11-latin-american-malware-families) Duo Decipher - ESET Identifies 11 Latin Américan Malware Families (2020)