控制台元件(CPL)惡意軟體分析

在上個月,趨勢科技發表了一篇部落格文章,描述主控台惡意軟體正在經由惡意附件檔散播給巴西的使用者。我們持續地研究這些威脅,現在已經發表了一份標題為「控制台惡意軟體:惡意控制台元件」的研究報告,內容包括控制台元件(CPL)的結構和不法分子如何利用它來散播惡意軟體(主要出現在巴西)。

目前,此一特定威脅被普遍地用來在巴西散播銀行惡意軟體。通常這些使用者被寄送了一封包含惡意壓縮檔連結的金融相關郵件。當這檔案被解壓縮後,使用者會看到許多惡意CPL檔案。

圖一、典型CPL惡意軟體行為

在分析方面,研究CPL檔案基本上跟研究DLL檔案相同。不過和後者不同的是,它會在點兩下後自動執行。這就跟EXE檔案一樣,但沒有被教育過的使用者在不知情下比較容易會去執行CPL檔。大多數來自巴西的CPL惡意軟體是用Delphi所編寫,這是在該國相當普及的編程語言。

在巴西,用在銀行惡意軟體的CPL檔案幾乎和EXE檔案一樣常見,這兩種格式加起來,佔了2013年3月到11月在巴西所看到銀行惡意軟體的近90%。在過去兩年間(2012年和2013年),趨勢科技在該國偵測到近25萬的 CPL 惡意軟體。它已經成為巴西使用者和機構的一個顯著問題。

 

@原文出處:A Look Into CPL Malware作者:Fernando Mercês(資深威脅研究員)