F5 Networks svela l’evoluzione del malware VBKlip nel mondo delle frodi bancarie

Da Milano, – F5 Networks ha analizzato l’evoluzione del malware VBKlip, introdotto da Cert Polska nel 2013 e inizialmente noto soprattutto localmente in Polonia come minaccia semplice ma efficace indirizzata agli utenti dei conti bancari. La sua prima versione intercettava i dati degli appunti: una volta che un utente utilizzava la funzionalità di Windows “copia-incolla”, modificava i dati copiati, scopriva quali avevano il formato della stringa IBAN e li scambiava con il proprio IBAN hard-coded.

Un procedimento semplice che però ha causato molti danni agli utenti e rischia di comportarne di maggiori anche in futuro dato che il malware sta vivendo una trasformazione significativa, seguendo le orme di minacce finanziare più note come Zeus e Neverquest che ricorrono sempre più alle tecniche Man-in-the-Browser.

Lo schema di infezione della versione attuale identificata da F5  inizia con un downloader che scarica due file: wmc.exe e .windows.sys (file dll) nel % ProgramData%. Dopo essere stato caricato in memoria il dll dannoso cerca di comunicare con diversi domini alla ricerca di un altro eseguibile che è poi responsabile delle funzionalità di base. Ogni componente viene scaricato separatamente e ha un compito diverso nell’intero flusso di controllo della frode.
Dividendo l’operazione in diversi moduli che dipendono dalla comunicazione del server Command and Control al fine di scaricare il componente successivo, i truffatori rendono l’attacco molto più difficile da analizzare perché è più complesso capire quali sono tutte le componenti coinvolte nella frode.

Il modulo di base si avvia creando una minaccia il cui unico scopo è quello di verificare la lista dei processi in esecuzione ogni 3 secondi. Ogni nome di processo viene confrontato con un elenco hard coded dei nomi del browser, su tre principali browser che vengono presi di mira: Internet Explorer, Firefox e Chrome.
Una volta che il malware identifica un processo di interesse, scrive il suo codice malevolo nella memoria del processo e lo esegue. Il malware utilizza un mutex per la sincronizzazione: un miglioramento significativo rispetto alla versione precedente che poteva gestire un solo processo del browser in esecuzione. Ora VBKlip può effettuare scambi di IBAN rispetto a tutti i browser in esecuzione.

Sebbene l’approccio utilizzato da questo malware possa sembrare piuttosto semplicistico se lo si compara con altri trojan già noti nel mondo delle frodi bancarie, bisogna notare che ha comunque successo ed è lecito ritenere che la sua evoluzione sia ancora in corso e non abbia raggiunto la sua forma definitiva.