CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

Avalanche de arquivos CPL no Brasil

Paulo Brito
02/01/2014

Por Fabio Assolini, analista sênior da Kaspersky Lab

Malware usando a extensão .CPL não é novo para nós, mas não deixa de ser interessante ver que a maioria dos trojans bancários criados no Brasil hoje são distribuidos nesse formato. Não importa se o ataque for um drive-by-download ou baseado simplesmente em engenharia social, usuários brasileiros se encontram no centro de uma verdadeira avalanche diária de arquivos maliciosos no formato CPL. Decidimos dar uma olhada mais de perto nessa tendência e descobrir porque os cibercriminosos brasileiros adotaram essa tática de ataque.Arquivos CPL são applets usadas pelo Painel de Controle do Windows. Depois de executados o arquivo rundll32.exe é usado para diversas ações definidas em DLLs. Entre essas várias ações está a de chamar applets do painel de controle. Quando o Windows as executa, ele chama a função CPlApplet() e consequentemente usa esse endereço para chamar as funções e executar o arquivo.Cada cibercriminoso tem seu método predileto de distribuir esse tipo de malware. A maioria deles prefere colocar o arquivo CPL dentro de um arquivo ZIP, mas já encontramos arquivos CPL inseridos dentro de arquivos RTF. Esse tipo de malware pertence a família Trojan-Banker.Win32.ChePro, detectada inicialmente na Rússia em Outubro de 2012.

Método típico de distribuição do Trojan ChePro: dentro de arquivos ZIP

Desde o começo do ano temos visto uma crescente na detecção dessa família de malware no Brasil:

Buscando por estatísticas dos países mais infectados encontramos Brasil e Portugal (certamente por compartilharem a mesma lingua). Mas foi uma surpresa encontrar a Rússia entre esses países. Isso é um sinal de que cibercriminosos brasileiros estão cooperando e adotando técnicas desenvolvidas por cibercriminosos russos e rapidamente adotando-as em seus novos trojans bancários.

 Os arquivos dessa família possuem algumas características em comum:

  • todos os arquivos possuem a extensão .CPL
  • os arquivos são imagens DLL
  • a maioria das timestamps são 808992537 ou 1362009600
  • linker major version é 2
  • linker minor version é 25
  • 80 bytes na última página
  • 2 paginas por arquivos
  • exporta a função CPlApplet()
  • característica do arquivo coff é 0xa18e
  • o valor inicial de sp é 0xb8

Os primeiros arquivos dessa família usavam o pack pecompact com essa cifragem de strings:

A próxima geração possuia pack UPX e  usava um tipo diferente de cifragem de strings, adicionando símbolos aleatórios entre os mais significativos:

Alguns arquivos também usavam base64 para longos blocos:

Porque os cibercriminosos brasileiros decidiram usar essa extensão? Por diversas razões, como o fato dos usuários geralmente não terem conhecimento dos perigos associados a essa extensão de arquivo. Alguns filtros de serviços de webmail não estão configurados para bloqueá-los, mesmo que as vezes estejam inseridos dentro de arquivos ZIP, anexos a uma mensagem de e-mail. Mas a razão principal está relacionada as técnicas que tentam burlar a detecção dos programas antivirus, possibilitando aos criminosos adicionarem diversas camadas de cifragem dentro do mesmo arquivo.

A maioria dos trojans da família ChePro são downloaders, que precisam baixar outros arquivos para completar a infecção, que na maioria das vezes serão trojans bancários que irão capturar screenshots, as teclas digitadas e ler o conteúdo da área de transferência, habilitando o malware para atacar virtualmente qualquer serviço de internet banking. Vimos ainda algumas inovações, pois os cibercriminosos tentam de todas as formas evitar a detecção das suas pragas pelo maior tempo possível. Diversos trojans usam geo localização, buscando no sistema infectado o horário e a versão do Windows; o trojan não será ativado se a máquina infectada estiver fora da zona de IPs brasileiros, rodar uma versão do Windows em outro idioma diferente do Português, ou configurada em um timezone diferente do Brasil.

Outros trojans também baixam arquivos não executáveis como um .xml, que mais tarde será dividido em diferentes arquivos que irão compor a infecção:

Nós criamos diversas detecções heurísticas e genéricas para essa família de trojans ChePro.

Obrigado aos meus colegas Dmitry Bestuzhev e Santiago Pontiroli pela colaboração e Fernando Mercês pelos dados muito úteis.

Compartilhar: