VBKlip: wektor ataku – polski użytkownik, status: niewykrywalny

25 stycznia, 2014

Jak informuje CERT Polska (Computer Emergency Response Team – polski zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci) malware VBKlip podmieniający konta bankowe ewoluował na wyższy „level”.

Jak działał stary VBKlip informowaliśmy tutaj.

Nowy malware

Nowa wersja wirusa została napisana w języku .NET i zawiera kilka usprawnień:

1. W chwili odnalezienia malware przez zespół CERT nie była wykrywana przez *żaden program antywirusowy obecny na **VirusTotal.

* o niewykrywalnych wirusach (FUD – Fully Undetectable) pisaliśmy [ tutaj ]

** jak działa od środka VirusTotal pisaliśmy [ tutaj ]

2. Nowy VBKlip rozprzestrzenia się udając aplikację “Adobe Flash Player” z jego ikonką.

Brak śladów aktywności malware

Malware jest bardzo prosty. Najpierw tworzona jest formatka (Form), która ma jeden z wymiarów ustawiony na zero, przez co się nie wyświetla. Ustawienie również właściwości ShowInTaskbar nafalse powoduje, że aplikacja nie jest w ogóle widoczna na pasku zadań.

Następnie malware korzysta z klasy Microsoft.VisualBasic.MyServices.ClipboardProxy, która pozwala manipulować zawartością schowka. Co sekundę (za pomocą klasy Timer) przyrównuje on zawartość schowka do dwóch wyrażeń regularnych pochodzących z języka Visual Basic:########################## lub ## #### #### #### #### #### ####. Jeśli zawartość schowka pasuje do jednego z nich, jest ona podmieniana na zapisany w aplikacji numer konta.

Najbardziej zaskakującą cechą tego malware’u jest fakt, że nie robi on nic więcej. Nie zapisuje żadnych wartości do rejestru przez co wystarczy restart komputera, aby pozbyć się wspomnianego zachowania. Wciąż jednak trzeba pamiętać o usunięciu pliku malware’u. Nie wykonuje również żadnej komunikacji sieciowej – widocznie autor uznał, że nie jest mu potrzebna. Powoduje to, że nie można stworzyć sygnatury sieciowej, nie można monitorować żadnych domen czy adresów IP – one po prostu nie istnieją.

Zaletą takiego podejścia jest ekstremalnie niska wykrywalność przez programy antywirusowe. Wszystkie trzy próbki, do których udało się dotrzeć CERT Polska w momencie ich otrzymania nie były wykrywane przez żaden program antywirusowy z ponad 45 dostępnych poprzez VirusTotal. Poniżej znajdują się linki do raportów tego serwisu dotyczących zaobserwowanych próbek:

Na dzień 25 stycznia 2014

1. analiza 1 [ 0/48 ] sha256: 0c10aeb3fdf4fb0d36250d12578227599f8f2509861b6e09e27413aeb044dfa0

2. analiza 2 [ 0/48 ] sha256: 744bae3c6f64cc4c9fb8095d57b54c7d0c827b6f5dc113aa289067f687182fc7

3. analiza 3 [ 0/ 48 ] sha256: db375c17975d21c6749c0168cd10f9dc9d26e33b9569e1a817da88d776642653

Wnioski

VBKlip jest nowatorskim rodzajem malware’u, które dzięki prostocie swojej konstrukcji, oraz wcześniej nieznanym zachowaniu jest poważnym zagrożeniem. Nie może ono zostać tak łatwo wykryte za pomocą systemów sieciowych IDS/IPS, ponieważ nie tworzy żadnego ruchu z C&C. Zagrożenie to jest skierowane w Polaków – wciąż występują w nim tylko polskie numery kont i nie otrzymaliśmy żadnej próbki, która podmieniałaby zagraniczne numery rachunków bankowych. Dodatkowym czynnikiem utrudniającym walkę z VBKlip jest nieskuteczność programów antywirusowych w jego przypadku.

Z drugiej strony, aby pozbyć się niechcianego działania wystarczy zrestartować komputer.

źródło: CERT Polska

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]