Troyano ChePro, la tormenta CPL

Los programas maliciosos con la extensión .CPL no son una novedad, pero no deja de llamar la atención que casi todos los programas maliciosos banqueros brasileños se propaguen bajo este formato. Ya se trate de una descarga al paso o de un sencillo ataque con ingeniería social, los usuarios se encuentran a diario en el epicentro de una verdadera tormenta CPL. Decidimos observar esta tendencia y encontrar la razón por la que los ciberdelincuentes brasileños prefieren esta estrategia.

Los archivos CPL son applets que se usan en el Panel de Control de Windows. Cuando se activan, rundll32.exe ejecuta una amplia variedad de acciones definidas en DLLs. Entre la variedad de acciones que es capaz de realizar está la de llamar a applets del Panel de Control. Cuando Windows carga por primera vez un elemento al Panel de Control, recupera la dirección de la función CPlApplet() que después utiliza para llamar a la función y pasarle mensajes.

Cada ciberdelincuente tiene su modus operandi favorito para distribuir este tipo de programa malicioso. La mayoría opta por poner el archivo CPL dentro de un ZIP, pero también lo hemos detectado dentro de archivos RTF. Los criminales bancarios brasileños apuestan alto: ahora utilizan archivos de Office maliciosos). Este tipo de programa malicioso pertenece a la familia Trojan-Banker.Win32.ChePro, detectada por primera vez en Rusia, en octubre de 2012.

Propagación típica de los programas maliciosos ChePro: dentro de un archivo ZIP

Desde principios de año hemos tenido una gran cantidad de detecciones de ChePro en Brasil:

Una tormenta CPL: detección mensual de ChePro en Brasil en 2013

Al tratar de identificar los países más infectados, encontramos a Brasil y Portugal emparejados (porque comparten el mismo idioma). Pero fue sorprendente hallar que Rusia estaba junto a ellos. Esta es una señal de que los ciberpiratas brasileños están cooperando y usando técnicas desarrolladas por sus contrapartes rusos, que rápidamente las adaptan para sus nuevos banqueros troyanos.

Los archivos de esta familia comparten algunas características:

• Todos los archivos tienen extensiones *.CPL.
• Los archivos contienen una imagen DLL.
• La mayoría de los sellos de tiempo, o timestamps, son 808992537 o 1362009600.
• La mayor versión del enlazador es 2.
• La menor versión del enlazador es 25.
• 80 bytes en la última página.
• 2 páginas en cada archivo.
• Exporta la función CPlApplet().
• La característica del archivo coff es 0xa18e.
• El valor inicial sp es 0xb8.

Los primeros programas maliciosos se comprimieron con pecompact y usaban este hilo de codificación:

La siguiente generación se comprimió con UPX y usaba otro tipo de hilo de codificación, que añadía símbolos aleatorios entre los propios:

También usaba base64 para grandes bloques:

¿Por qué decidieron los ciberpiratas utilizar esta extensión? Hay muchas razones, comenzando por el hecho de que los usuarios finales suelen ignorar los peligros que conllevan estos archivos. Algunos filtros de correo web no están configurados para neutralizarlos, incluso si vienen adjuntos a un archivo ZIP en un mensaje de correo. Pero la principal razón es la de evitar la detección de soluciones antivirus ya que son capaces de aplicar varias capas de codificación dentro del mismo archivo.

La mayoría de los programas maliciosos ChePro son descargadores que necesitan otros archivos para completar la infección, por lo general programas maliciosos banqueros instaladores capaces de capturar imágenes en la pantalla y la actividad en teclados, y de leer el contenido del portapapeles. Hemos visto aquí algunas innovaciones que los ciberdelincuentes han desarrollado para evitar la detección de las soluciones antivirus por el tiempo que sea posible. Varios troyanos utilizan geolocalización o piden al sistema las zonas horarias y la versión de Windows; los troyanos no completan la infección fuera de IPs brasileñas o en un sistema Windows que se ejecute en una zona horaria que no corresponda a Brasil o cuyo idioma no sea portugués. Otros troyanos también descargan un archivo no ejecutable, como un .xml, que posteriormente se divide en archivos separados que pertenecen a la infección:

Hemos desarrollado varias detecciones heurísticas y genéricas para estos troyanos ChePro.

Agradezco a mis colegas Dmitry Bestuzhev y Santiago Pontiroli por su colaboración y a Fernando Mercês por la interesante información.