Niedawno informowaliśmy o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, nazwanym przez nas VBKlip. Polegało ono na podmianie numeru rachunku bankowego, który znalazł się w schowku. Od tego czasu zaobserwowaliśmy zmiany w kodzie tego malware’u. Nowa wersja napisana jest w języku .NET i zawiera kilka ciekawych usprawnień, które powodują, że każda próbka w chwili znalezienia jej przez CERT Polska nie była wykrywana przez żaden z produktów antywirusowych obecnych na VirusTotal. Nowy VBKlip rozprzestrzenia się udając aplikację „Adobe Flash Player” i opatrzony jest ikoną taką, jak ta zaprezentowana na początku artykułu.

Ślady w komunikacji sieciowej albo w rejestrze? Można pomarzyć!

Malware jest bardzo prosty. Najpierw tworzona jest formatka (Form), która ma jeden z wymiarów ustawiony na zero, przez co się nie wyświetla. Ustawienie również właściwości ShowInTaskbar na false powoduje, że aplikacja nie jest w ogóle widoczna na pasku zadań.

Następnie malware korzysta z klasy Microsoft.VisualBasic.MyServices.ClipboardProxy, która pozwala manipulować zawartością schowka. Co sekundę (za pomocą klasy Timer) przyrównuje on zawartość schowka do dwóch wyrażeń regularnych pochodzących z języka Visual Basic: ########################## lub ## #### #### #### #### #### ####. Jeśli zawartość schowka pasuje do jednego z nich, jest ona podmieniana na zapisany w aplikacji numer konta.

Najbardziej zaskakującą cechą tego malware’u jest fakt, że nie robi on nic więcej. Nie zapisuje żadnych wartości do rejestru przez co wystarczy restart komputera, aby pozbyć się wspomnianego zachowania. Wciąż jednak trzeba pamiętać o usunięciu pliku malware’u. Nie wykonuje również żadnej komunikacji sieciowej – widocznie autor uznał, że nie jest mu potrzebna. Powoduje to, że nie można stworzyć sygnatury sieciowej, nie można monitorować żadnych domen czy adresów IP – one po prostu nie istnieją.

Zaletą takiego podejścia jest ekstremalnie niska wykrywalność przez programy antywirusowe. Wszystkie trzy próbki, do których udało się dotrzeć CERT Polska w momencie ich otrzymania nie były wykrywane przez żaden program antywirusowy z ponad 45 dostępnych poprzez VirusTotal. Poniżej znajdują się linki do raportów tego serwisu dotyczących zaobserwowanych próbek:

https://www.virustotal.com/pl/file/744bae3c6f64cc4c9fb8095d57b54c7d0c827b6f5dc113aa289067f687182fc7/analysis/1389270408
https://www.virustotal.com/pl/file/0c10aeb3fdf4fb0d36250d12578227599f8f2509861b6e09e27413aeb044dfa0/analysis/1389337563
https://www.virustotal.com/pl/file/db375c17975d21c6749c0168cd10f9dc9d26e33b9569e1a817da88d776642653/analysis/1389270408

Podsumowanie

VBKlip jest nowatorskim rodzajem malware’u, które dzięki prostocie swojej konstrukcji, oraz wcześniej nieznanym zachowaniu jest poważnym zagrożeniem. Nie może ono zostać tak łatwo wykryte za pomocą systemów sieciowych IDS/IPS, ponieważ nie tworzy żadnego ruchu z C&C. Zagrożenie to jest skierowane w Polaków – wciąż występują w nim tylko polskie numery kont i nie otrzymaliśmy żadnej próbki, która podmieniałaby zagraniczne numery rachunków bankowych. Dodatkowym czynnikiem utrudniającym walkę z VBKlip jest nieskuteczność programów antywirusowych w jego przypadku.

Z drugiej strony, aby pozbyć się niechcianego działania wystarczy zrestartować komputer. Poniżej znajdują się skróty SHA256 analizowanych próbek.