Braziliaanse bankklanten bestolen via CPL-bestanden
Cybercriminelen gebruiken op grote schaal bestanden voor het Windows Configuratiescherm om Braziliaanse en Russische bankklanten te bestelen. Dat laat het Russische anti-virusbedrijf Kaspersky Lab weten. CPL (Control Panel)-bestanden worden voor het Configuratiebescherm gebruikt.
De programma's in het Configuratiescherm, zoals 'Systeem', 'Printers' en 'Programma's en onderdelen', zijn allemaal CPL-bestanden. Het gebruik van CPL-bestanden door cybercriminelen is niet nieuw, maar in Brazilië gebruiken bijna alle Trojaans paarden die gegevens voor internetbankieren stelen dit bestandsformaat.
De verspreiding vindt plaats via zowel e-mail als drive-by downloads, waarbij de malware via softwarelekken die de gebruiker niet heeft gepatcht op de computer wordt geplaatst. Ook zijn CPL-bestanden in RTF-documenten aangetroffen.
Reden
De reden dat Braziliaanse cybercriminelen CPL-bestanden gebruiken is volgens analist Fabio Assolini dat het bestandsformaat verschillende voordelen heeft. Eindgebruikers beschouwen het niet als een gevaarlijk bestandsformaat en webmailfilters staan vaak niet ingesteld om het te filteren, ook als in het in een ZIP-bestand is geplaatst.
De voornaamste reden is dat het mogelijk is om meerdere encryptielagen in hetzelfde bestand toe te passen, wat helpt bij het omzeilen van anti-virussoftware. Een bekende banking Trojan die CPL-bestanden gebruikt is ChePro. Deze malware-familie is zeer actief in Brazilië, Portugal en Rusland. Dit is een teken dat Braziliaanse en Russische cybercriminelen samenwerken, aldus Assolini.
Eenmaal actief neemt de malware screenshots, slaat toetsaanslagen op en leest de inhoud van het Klembord. Aangezien de malware zich voornamelijk via ZIP-bestanden in e-mailberichten verspreid krijgen gebruikers het advies om geen ongevraagde bestanden en bijlagen te openen.
De truuk die hier is toegepast is dat de PE een DLL is met een speciale cpl exported entry point. DLL's zijn eerder een nadeel dan een voordeel, want daardoor is het niet meer zo maar uitvoerbaar. Je hebt een hulpmiddel nodig, in dit geval dus de cpl extensie+entry point of rundll.
Misschien is het bedoeld om anti-virus te omzeilen die alleen naar standaard PE entry points kijkt. Het is niet de makkelijkste (meestal economisch beste) weg die malware schrijvers doorgaans bewandelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.