Специалисты "Лаборатории Касперского" сообщают , что практически все банковские троянские программы в Бразилии используют расширение . CPL. Файлы CPL содержат в себе апплеты панели управления Windows. Программа rundll32.exe, находясь в запуске, имеет разные функции, которые определяются в DLL-библиотеках. Одной из таких функций является выполнение апплетов Панели управления, которая использует считанный адрес CPlApplet() для вызова функции и передачи ей разнообразных сообщений.
Каждый киберпреступник распространяет вредоносные программы по-своему. Некоторые из них предпочитают упаковывать CPL-файлы в ZIP-архивы, однако, известны случаи внедрения вредоносного кода в RTF файлы. Подобные новаторства были впервые обнаружены в октябре 2012 г. в России.
Если говорить о странах с повышенной частотой заражений, первое место списка занимают Бразилия, Португалия и Россия. Подобная статистика свидетельствует о взаимодействии бразильских и российских мошенников, а также о использовании ими адаптированных под банковские системы приемы российского преступного общества.
Зараженные файлы имеют много общего. Они имеют расширение файлов .CPL, похожие параметры, по 2 страницы, представляют собой DLL-библиотеки и т.д.
Киберпреступники используют данную программу по нескольким причинам. Обычно, жертвы не подозревают о возможной опасности заражения. Некоторые почтовые системы не оснащены фильтрами, блокирующими файлы с расширением данного формата. Но главным преимуществом в использовании является то, что форматы ZIP и RTF не поддаются проверке антивирусами. Таким образом, обнаружить вирусную программу в таком файле практически невозможно.
Файлы формата ChePro имеют способность заражать систему с помощью других файлов. Обычно, такими являются банковские вредоносные программы, которые позволяют делать снимки экрана, регистрировать нажатия клавиатуры и читать содержимое буфера копирования. Данные действия позволяют злоумышленникам совершать кибератаки на любые системы онлайн-банкинга.
Источник: SecurityLab
|