image

Braziliaanse bankklanten bestolen via CPL-bestanden

vrijdag 27 december 2013, 14:26 door Redactie, 1 reacties

Cybercriminelen gebruiken op grote schaal bestanden voor het Windows Configuratiescherm om Braziliaanse en Russische bankklanten te bestelen. Dat laat het Russische anti-virusbedrijf Kaspersky Lab weten. CPL (Control Panel)-bestanden worden voor het Configuratiebescherm gebruikt.

De programma's in het Configuratiescherm, zoals 'Systeem', 'Printers' en 'Programma's en onderdelen', zijn allemaal CPL-bestanden. Het gebruik van CPL-bestanden door cybercriminelen is niet nieuw, maar in Brazilië gebruiken bijna alle Trojaans paarden die gegevens voor internetbankieren stelen dit bestandsformaat.

De verspreiding vindt plaats via zowel e-mail als drive-by downloads, waarbij de malware via softwarelekken die de gebruiker niet heeft gepatcht op de computer wordt geplaatst. Ook zijn CPL-bestanden in RTF-documenten aangetroffen.

Reden

De reden dat Braziliaanse cybercriminelen CPL-bestanden gebruiken is volgens analist Fabio Assolini dat het bestandsformaat verschillende voordelen heeft. Eindgebruikers beschouwen het niet als een gevaarlijk bestandsformaat en webmailfilters staan vaak niet ingesteld om het te filteren, ook als in het in een ZIP-bestand is geplaatst.

De voornaamste reden is dat het mogelijk is om meerdere encryptielagen in hetzelfde bestand toe te passen, wat helpt bij het omzeilen van anti-virussoftware. Een bekende banking Trojan die CPL-bestanden gebruikt is ChePro. Deze malware-familie is zeer actief in Brazilië, Portugal en Rusland. Dit is een teken dat Braziliaanse en Russische cybercriminelen samenwerken, aldus Assolini.

Eenmaal actief neemt de malware screenshots, slaat toetsaanslagen op en leest de inhoud van het Klembord. Aangezien de malware zich voornamelijk via ZIP-bestanden in e-mailberichten verspreid krijgen gebruikers het advies om geen ongevraagde bestanden en bijlagen te openen.

Image

Reacties (1)
29-12-2013, 20:18 door Anoniem
cpl bestanden zijn uitvoerbare bestanden (PE, ofwel portable executables). Malware verspreiders gebruiken de extensie om te verbloemen dat het een uitvoerbaar bestand is. Windows voert ze gewoon uit.

De truuk die hier is toegepast is dat de PE een DLL is met een speciale cpl exported entry point. DLL's zijn eerder een nadeel dan een voordeel, want daardoor is het niet meer zo maar uitvoerbaar. Je hebt een hulpmiddel nodig, in dit geval dus de cpl extensie+entry point of rundll.

Misschien is het bedoeld om anti-virus te omzeilen die alleen naar standaard PE entry points kijkt. Het is niet de makkelijkste (meestal economisch beste) weg die malware schrijvers doorgaans bewandelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.