No mês passado, a Trend Micro publicou um post em seu blog descrevendo como malwares CPL estavam sendo distribuídos através de anexos maliciosos para usuários brasileiros.
Atualmente, essa ameaça específica está sendo comumente usada para espalhar malwares bancários no Brasil. Normalmente, são enviados emails financeiros com temas que contêm um link para um arquivo compactado malicioso. Quando o conteúdo deste arquivo é descompactado, o usuário vê vários arquivos maliciosos .CPL.
Eis o funcionamento: Primeiramente cibercriminosos mandam emails de phishing para usuários desavisados. A Vítima baixa o arquivo comprimido clicando no link embutido no email que executa o arquivo .CPL. Tal arquivo infecta a maquina da vítima que monitora os acessos do usuário a sites bancários redirecionando o link para sites maliciosos ou simplesmente fazendo o uso de técnicas conhecidas como sessions Hijacking para obter dados bancários. Tais informações são capturadas e mandadas de volta para o atacante.
A maioria dos malwares CPL do Brasil foram escritos em Delphi, que é uma linguagem de programação popular no país. A Trend Micro anunciou que, entre 2012 e 2103, foram detectados cerca de um 1/4 de milhão de malwares CPL no país. Hoje é um problema significativo para usuários e organizações brasileiras.