O uso do .cpl para roubo de dados bancários: uma ameaça 'made in Brazil'

Por Rafael Romer | 06.11.2014 às 10:47

*da Costa do Sauípe

Apesar de guardar muitas semelhanças sociais, culturais e econonômicas com muitos de nossos vizinhos latino americanos, o Brasil tem um ecossistema de ameaças virtuais bem particular. Nesta quarta-feira (05), durante seu Fórum de Segurança de Informática da América Latina, a empresa de soluções de segurança ESET falou sobre uma dessas tendências que está ganhando cada vez mais espaço para roubar dados bancários no país: o uso extensão .cpl.

A extensão .cpl é um tipo de arquivo executável semelhante às extensões .dll ou .exe, que se refere diretamente às aplicações do Painel de Controle do sistema operacional Windows.

Desde 2011, o uso dessa extensão para a infecção e sequestro de informações mais que dobrou no Brasil, de acordo com dados coletados pela ESET. O mesmo crescimento não foi observado em nenhum outro país da América Latina.

Assim como o .exe e o .dll, o .cpl é uma extensão comum do Windows, mas que pode ser facilmente criada por um cibercriminoso para executar alguma ação maliciosa quando ativada dentro do computador do usuário. Arquivos maliciosos criados no formato .cpl são usados desde a década de 1990, mas só agora voltaram com força total no Brasil.

A partir da análise desse tipo de ameaça, a ESET constatou que seu principal uso no país estava relacionado ao aumento do número de usuários de plataformas de internet banking, que cresceu muito nos últimos anos. Segundo dados da Comscore de 2013, cerca de 40% dos usuários brasileiros de internet já utilizaram serviços bancários online.

Aproveitando-se disso, cibercriminosos brasileiros desenvolveram extensões .cpl que, quando executadas em um PC, são capazes de sequestrar dados de transações financeiras feitas no computador, entregando-as para o atacante. Do total de .cpl maliciosos analisados, 80% deles estavam focados no roubo de dados bancários.

ESET

O pesquisador da ESET, Matias Porolli, durante apresentação no Fórum de Segurança (Foto: Rafael Romer/Canaltech)

O principal vetor de transmissão desse tipo de extensão é o e-mail, que costuma enganar o usuário com métodos de engenharia social que causam algum tipo de preocupação, levando-o a abrir o arquivo anexo.

Palavras como "Intimação", "Comentário de Voz" e "Comprovante" estão entre as mais utilizadas nos assuntos dos e-mails que tentam infectar usuários, sempre pedindo que eles façam o download de supostos documentos importantes que, na verdade, é um arquivo .cpl maquiado com extensões como .pdf, .doc ou .jpg. Alguns exemplos de e-mails .cpl coletados pela ESET podem ser vistos no fim deste texto.

De acordo com o Analista de Malwares da ESET, Matias Porolli, a expectativa para 2015 é o aumento desse tipo de ameaça no Brasil, apesar de ainda não haver um número concreto para esse crescimento.

"Vamos observar um crescimento, porque já no final de 2014 estamos notando novos métodos para propagação disso", explicou ao Canaltech. "Originalmente, vimos que [os atacantes] utilizavam o e-mail com anexos .cpl. Agora estamos vendo que estão complicando mais e utilizam arquivos .zip, que dentro trazem o .cpl, o que dificulta a detecção".

Segundo Porolli, há também a preocupação de que esse tipo de ameaça se espalhe pela América Latina a partir do Brasil, já que o país costuma "exportar" modelos de ameaças para o continente. Atualmente, 92% de todas as ameaças .cpl da América Latina são provenientes do Brasil.

"No Brasil, vemos que os cribercriminosos desenvolvem ameaças de forma personalizada", disse. "Isso afeta toda a região, justamente por ter sido criado no Brasil, pode ser expandido para toda a América Latina".

.cpl
.cpl
.cpl

*O repórter viajou à Costa do Sauípe à convite da ESET