Este material não é de minha autoria são trechos retirados do relatório de malware da Trend Micro. Todos os créditos e direitos vão para há Trend Micro.
http://www.trendmicro.com.br/
Introdução
O CPL é um formato de arquivo executável que os cibercriminosos também usam para criarmalware atualmente. Existem arquivos .CPL não maliciosos, é claro, mas este trabalho de
pesquisa vai focar nos maliciosos, que a Trend Micro chama de “Malware em CPL”.
Decidimos estudar esse tópico devido ao número crescente de malware em CPL sendo criados
e distribuídos, especialmente no Brasil. Esses arquivos têm como principais alvos os clientes de
banco online (internet banking).
Visão Geral do Ataque
O Brasil é um produtor e alvo bem conhecido de Cavalos de Troia bancários, mais popularmenteconhecidos no país como “bankers”. Com base em relatórios e envios de ameaças de parceiros,
uma média de 40 novas ameaças visam clientes de bancos brasileiros todos os dias. Para escapar
das técnicas de detecção, os cibercriminosos parecem seguir esses passos quando lançam um
ataque envolvendo um malware em CPL:
- Enviam um email falso (phishing) para potenciais vítimas. Os emails usam nomes de organizações financeiras populares para induzir as potenciais vítimas a clicarem em um link para baixar um recibo de pagamento, ver seu saldo de débitos ou afins.
- As vítimas baixam um arquivo comprimido (normalmente .ZIP) clicando em um link presente
Exemplo de arquivo .CPL malicioso
• Boleto/Fatura
• NF-e: Sigla para “recibo eletrônico”, abreviação de “nota fiscal eletrônica”
• Nota/Recibo: Recibo impresso
• SPC: Organização responsável pela proteção de empresas contra inadimplentes ou clientes que deixam de pagar suas dívidas
• Serasa: Organização responsável exclusivamente por proteger os bancos contra
pessoas inadimplentes
• NF-e: Sigla para “recibo eletrônico”, abreviação de “nota fiscal eletrônica”
• Nota/Recibo: Recibo impresso
• SPC: Organização responsável pela proteção de empresas contra inadimplentes ou clientes que deixam de pagar suas dívidas
• Serasa: Organização responsável exclusivamente por proteger os bancos contra
pessoas inadimplentes
Arquivos .CPL encontrados em um arquivo .ZIP que o Windows abre nativamente |
3. As vítimas executam o arquivo .CPL. Um duplo clique em um arquivo .CPL pode ter vários
efeitos maliciosos. A maioria dos arquivos .CPL baixa variantes de Cavalos de Troia
bancários nos computadores das vítimas, mas alguns também contêm códigos maliciosos
completos, sem a necessidade de baixar novas ameaças.
efeitos maliciosos. A maioria dos arquivos .CPL baixa variantes de Cavalos de Troia
bancários nos computadores das vítimas, mas alguns também contêm códigos maliciosos
completos, sem a necessidade de baixar novas ameaças.
Como o malware CPL trabalha |
Apesar dos arquivos .CPL não serem novos, os analistas e o setor de segurança em geral sabem
muito pouco sobre eles.2 Mesmo a documentação oficial da Microsoft contém só umas poucas
páginas sobre o formato .CPL. A maioria das informações técnicas desse estudo foi obtida por
engenharia reversa de arquivos .CPL, loaders do Windows, e assim por diante.
muito pouco sobre eles.2 Mesmo a documentação oficial da Microsoft contém só umas poucas
páginas sobre o formato .CPL. A maioria das informações técnicas desse estudo foi obtida por
engenharia reversa de arquivos .CPL, loaders do Windows, e assim por diante.
Um email falso (phishing) acusando o destinatário de inadimplência com um link que, ao ser clicado, baixa uma variante do TROJ_BANLOAD1 |
Conclusão
Já vimos alguns surtos de malware em .SCR, .VBS e outros tipos de arquivos no Brasil antes. Neste momento, estamos vendo um surto de malwares em CPL no país. Como qualquer outro tipo de malware, as infecções podem ser evitadas. Observe as seguintes características envolvendo arquivos .CPL:
• Arquivos .CPL não são normalmente transferidos em rede.
• Além dos aplicativos nativos do Windows, alguns fornecedores de drivers também enviam
com a instalação dos drivers arquivos .CPL para ter seus miniaplicativos no Painel de Controle do Windows.
• A maioria dos arquivos .CPL maliciosos que se originaram no Brasil parecem ter sido escritos usando a linguagem de programação Delphi.
• Arquivos .CPL não são normalmente transferidos em rede.
• Além dos aplicativos nativos do Windows, alguns fornecedores de drivers também enviam
com a instalação dos drivers arquivos .CPL para ter seus miniaplicativos no Painel de Controle do Windows.
• A maioria dos arquivos .CPL maliciosos que se originaram no Brasil parecem ter sido escritos usando a linguagem de programação Delphi.
• O malware em CPL é principalmente distribuído comprimido, usando o algoritmo Zip ou RAR. Esses arquivos comprimidos, porém, normalmente só contêm arquivos .CPL. Mas note que eles podem estar comprimidos ou criptografados quando distribuídos. Como mostrado, a situação é crítica porque o número atual de arquivos .CPL maliciosos está crescendo. Os cibercriminosos podem fazer tudo com os arquivos .CPL. Eles podem distribuir de droppers a instaladores de rootkits. Portanto, o .CPL é um formato de arquivo executável flexível com o qual você deve se preocupar.
Apêndice
SOs Que Suportam a Execução dos Arquivos .CPL• Windows 2012
• Windows 8
• Windows 2008
• Windows 7
• Windows 2003
• Windows Vista®
• Windows CE
• Windows 2000
• Windows XP
• Windows ME
• Windows 98®
• Windows NT
• Windows 95®
• Windows 3.11
• Windows 3.1
• Windows ME
• Windows 98®
• Windows NT
• Windows 95®
• Windows 3.11
• Windows 3.1
As 20 Principais Palavras Associadas aos Cavalos de Troia Bancários
em CPL
1. pdf2. boleto
3. comprovante
4. fiscal
5. nf
6. nfe
7. nota
8. visualizar
9. dsc (geralmente parte de nomes arquivos de imagem como “DSC0001.jpg”)
10. eletrônica
11. anexo
12. arqv
13. fatura
14. depósito
15. cheque
16. via
17. cobrança
18. fotos
19. doc
20. comentariodevoz (comentário de voz)
Para mais detalhes veja os links da bibliografia.
Bibliografia:
TrendMicro (Relatorio de malwareCPL):http://www.trendmicro.com.br/cloud-content/br/pdfs/business/datasheets/relatorio_malwarecpl.pdf | Acessado dia 22/05/2014 as 10:15 AM.
Kaspersky (Trojan ChePro). A avalanche de de arquivos CPL no Brasil: http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/trojan-chepro | Acessado dia 22/05/2014 as 10:15 AM.
Agradeço a Trend Micro e a Kaspersky, bem como a todos os outros blogs e sites de segurança por nos prestar esse trabalho de informação que nos ajuda a proteger nossos computadores. Obrigado.
Nenhum comentário:
Postar um comentário