Por Fabio Assolini, analista sênior da Kaspersky Lab
Método típico de distribuição do Trojan ChePro: dentro de arquivos ZIP
Desde o começo do ano temos visto uma crescente na detecção dessa família de malware no Brasil:
Buscando por estatísticas dos países mais infectados encontramos Brasil e Portugal (certamente por compartilharem a mesma lingua). Mas foi uma surpresa encontrar a Rússia entre esses países. Isso é um sinal de que cibercriminosos brasileiros estão cooperando e adotando técnicas desenvolvidas por cibercriminosos russos e rapidamente adotando-as em seus novos trojans bancários.
Os arquivos dessa família possuem algumas características em comum:
- todos os arquivos possuem a extensão .CPL
- os arquivos são imagens DLL
- a maioria das timestamps são 808992537 ou 1362009600
- linker major version é 2
- linker minor version é 25
- 80 bytes na última página
- 2 paginas por arquivos
- exporta a função CPlApplet()
- característica do arquivo coff é 0xa18e
- o valor inicial de sp é 0xb8
Os primeiros arquivos dessa família usavam o pack pecompact com essa cifragem de strings:
A próxima geração possuia pack UPX e usava um tipo diferente de cifragem de strings, adicionando símbolos aleatórios entre os mais significativos:
Alguns arquivos também usavam base64 para longos blocos:
Porque os cibercriminosos brasileiros decidiram usar essa extensão? Por diversas razões, como o fato dos usuários geralmente não terem conhecimento dos perigos associados a essa extensão de arquivo. Alguns filtros de serviços de webmail não estão configurados para bloqueá-los, mesmo que as vezes estejam inseridos dentro de arquivos ZIP, anexos a uma mensagem de e-mail. Mas a razão principal está relacionada as técnicas que tentam burlar a detecção dos programas antivirus, possibilitando aos criminosos adicionarem diversas camadas de cifragem dentro do mesmo arquivo.
A maioria dos trojans da família ChePro são downloaders, que precisam baixar outros arquivos para completar a infecção, que na maioria das vezes serão trojans bancários que irão capturar screenshots, as teclas digitadas e ler o conteúdo da área de transferência, habilitando o malware para atacar virtualmente qualquer serviço de internet banking. Vimos ainda algumas inovações, pois os cibercriminosos tentam de todas as formas evitar a detecção das suas pragas pelo maior tempo possível. Diversos trojans usam geo localização, buscando no sistema infectado o horário e a versão do Windows; o trojan não será ativado se a máquina infectada estiver fora da zona de IPs brasileiros, rodar uma versão do Windows em outro idioma diferente do Português, ou configurada em um timezone diferente do Brasil.
Outros trojans também baixam arquivos não executáveis como um .xml, que mais tarde será dividido em diferentes arquivos que irão compor a infecção:
Nós criamos diversas detecções heurísticas e genéricas para essa família de trojans ChePro.
Obrigado aos meus colegas Dmitry Bestuzhev e Santiago Pontiroli pela colaboração e Fernando Mercês pelos dados muito úteis.