Троянцы из семейства ChePro и CPL-буря

Вредоносные программы, использующие расширение .CPL, для нас не новость, однако любопытно, что почти все банковские зловреды, создаваемые сегодня в Бразилии, распространяются именно в этом формате. Не имеет значения, что это: drive-by загрузка или нехитрая атака с применением социальной инженерии, – каждый день пользователи оказываются в эпицентре настоящей CPL-бури. Мы решили проанализировать эту тенденцию и выяснить, почему сегодня бразильские киберпреступники выбирают именно такой подход.

CPL-файлы – это апплеты Панели управления Windows. Будучи запущена на выполнение, программа rundll32.exe может быть использована для совершения самых разнообразных действий, определенных в DLL-библиотеках. Среди многочисленных возможностей программы – выполнение апплетов Панели управления. При первой загрузке элемента Панели управления Windows считывает адрес функции CPlApplet() и впоследствии использует этот адрес для вызова функции и передачи ей сообщений.

У каждого киберпреступника есть свой излюбленный способ распространения подобных вредоносных программ. Большинство предпочитают упаковывать CPL-файлы в ZIP-архивы, однако мы также встречали подобные файлы, внедренные в RTF-документы. Эти вредоносные программы принадлежат к семейству Trojan-Banker.Win32.ChePro, представители которого были впервые обнаружены в октябре 2012 г. в России.

Наиболее частый способ распространения образцов ChePro – в ZIP-архиве

На протяжении всего 2013 года в Бразилии постоянно обнаруживалось большое число образцов ChePro:

CPL-буря: детекты ChePro в Бразилии в 2013 году по месяцам

Что касается стран с наибольшим количеством заражений, то на первом месте здесь Бразилия и Португалия, рассматриваемые вместе (поскольку в них один и тот же язык). Как это ни странно, к ним также присоединилась Россия. Это указывает на то, что бразильские киберпреступники взаимодействуют с российскими и принимают на вооружение приемы, созданные представителями российского преступного сообщества, оперативно адаптируя эти приемы для использования в своих новых банковских троянцах.

География распространения Trojan.Win32.ChePro

Файлы, принадлежащие к данному семейству, имеют между собой много общего:

• все файлы имеют расширение *.CPL
• файлы представляют собой DLL-библиотеки
• в большинстве случаев у файлов временные метки 808992537 или 1362009600
• параметр linker major version равен 2
• параметр linker minor version равен 25
• размер последней страницы – 80 байтов
• в каждом файле 2 страницы
• все образцы экспортируют функцию CPlApplet()
• параметр characteristics coff-файла равен 0xa18e
• первоначальное значение указателя стека равно 0xb8

Первые образцы были упакованы утилитой pecompact и использовали следующий способ шифрования строк:

Следующее поколение вредоносной программы было упаковано утилитой UPX и использовало другой способ шифрования строк с добавлением случайно выбранных «мусорных» символов между значимыми:

Для шифрования больших блоков также использовался алгоритм base64:

Почему же киберпреступники остановились именно на этом расширении? Для этого есть несколько причин. Во-первых, пользователи зачастую не подозревают, что подобные файлы могут нести в себе какую-то опасность. Фильтры некоторых почтовых систем не настроены на блокирование файлов с данным расширением, даже если они пересылаются в электронных письмах в составе вложений в формате ZIP. Однако основная причина – желание избежать обнаружения антивирусами: этот формат позволяет использовать несколько слоев шифрования в одном файле.

Большинство образцов ChePro – загрузчики, которым для успешного заражения системы необходимы другие файлы. Как правило, это банковские вредоносные программы, позволяющие делать снимки экрана, регистрировать клавиатурные нажатия и читать содержимое буфера копирования, т.е. имеющие функционал, дающий возможность использовать вредоносную программу для атаки практически на любые системы онлайн-банкинга. Злоумышленники стараются применять новые приемы, позволяющие как можно дольше избегать обнаружения. Некоторые троянцы используют геолокацию или запрашивают у системы часовой пояс и версию Windows. При этом троянцы не пытаются завершить процесс заражения, если у компьютера не бразильский IP-адрес или в Windows установлен не бразильский часовой пояс или язык, отличный от португальского. Некоторые другие троянцы загружают неисполняемый файл, например, .xml, который впоследствии разбивается на отдельные файлы, используемые в процессе заражения:

Мы создали для обнаружения троянских программ из семейства ChePro несколько эвристических и generic-алгоритмов обнаружения.

Благодарю моих коллег Дмитрия Бестужева и Santiago Pontiroli за сотрудничество и Fernando Merces за очень полезную информацию.