Control Panel-Dateien in bösartigen Mail-Anhängen

Originalartikel von Jeffrey Bernardino, Threat Researcher

Spam-Mails mit bösartigen Anhängen sind bei Cyberkriminellen beliebte Mittel für ihre Aktionen. Üblicherweise bestehen die Anhänge aus komprimierten .RAR oder .ZIP-Dateien und enthalten Payloads wie die berüchtigte UPATRE-Schädlingsfamilie. Seit September jedoch sind Spam-Mails im Umlauf, die eine einzigartige Technik nutzen.

Statt der bekannten Dateitypen verwenden die Hintermänner Control Panel (CPL)-Dateien als Anhnag. CPL-Dateien werden normalerweise von Applets im Windows Control Panel eingesetzt. Die Themen in den Nachrichten sind häufig finanzieller Art, um die Empfänger dazu zu verleiten, die Mail und den Anhang zu öffnen.

Bild 1. Spam-Muster

Die Mail hat einen RTF-Anhang, in den eine bösartige ausführbare Datei eingebettet ist. Trend Micro hat die RTF-Datei als TROJ_CHEPRO.RTF identifiziert. Wird die Datei geöffnet, so zeigt sie ein Bild mit der Anweisung in Portugiesisch, das Bild anzuklicken.

Bild 2. Bösartige RTF-Datei mit eingebettetem Bild

Nach dem Doppelklick auf das Bild führt die RTF-Datei die eingebettete Datei, nämlich eine bösartige CPL-Datei, aus. Trend Micro hat sie als TROJ_CHEPRO.CPL identifiziert. Der Schädling verbindet sich mit einer URL und lädt einige verschlüsselte Dateien (nach Entschlüsselung als TSPY_BANCOS.CVH identifiziert) herunter. Diese auf Informationsdiebstahl ausgerichtete Schadsoftware sammelt bestimmte systemrelevante Informationen.

Sie überwacht die Nutzertransaktionen auf den folgenden Websites:

  • Blogger
  • Facebook
  • Google
  • Grvnewlook
  • Hotmail
  • Locaweb
  • Orkut
  • PagSeguro
  • PayPal
  • Serasa Experian
  • Terra
  • Youtube

Die gesammelten Informationen werden in einer Textdatei aufgezeichnet und über HTTP POST eine URL geschickt:

Bild 3. CHEPRO-Infektionskette

Laut Feedback aus dem Trend Micro Smart Protection Network gibt es derzeit nur wenige Infektionen. Doch sollten die Cyberkriminellen die Technik für effektiv halten, so wird die Zahl der Infektionen sicherlich steigen.

Nutzer sollten deshalb vorsichtig sein, bevor sie eine Mail oder einen Anhang öffnen. Unternehmen sind gut beraten, eine Mail-Scanning-Lösung im Netzwerk einzusetzen, die die Mails scannt. Trend Micro erkennt und blockiert alle bösartigen Dateien, URLs und E-Mails, die mit diesen Angriffen in Zusammenhang stehen.

Zusätzliche Analysen von Mark Manahan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*