VBKlip, si sta trasformando, diventando molto più temibile. Il malware scoperto nel 2013 e che ha colpito i conti bancari di numerosi utenti partendo dalla Polonia, sta infatti facendo il cosiddetto “salto di qualità” in base a quanto scoperto da F5 Networks. Se la sua prima versione intercettava i dati degli appunti ( una volta che un utente utilizzava la funzionalità di Windows “copia-incolla”, modificava i dati copiati, scopriva quali avevano il formato della stringa IBAN e li scambiava con il proprio IBAN hard-coded) ben più grave è la nuova minaccia poiché sfrutta le tecniche Man-in-the-Browser.
Lo schema di infezione della versione attuale identificata da F5 inizia con un downloader che scarica due file: wmc.exe e .windows.sys (file dll) nel % ProgramData%. Dopo essere stato caricato in memoria il dll dannoso cerca di comunicare con diversi domini alla ricerca di un altro eseguibile che è poi responsabile delle funzionalità di base. Ogni componente viene scaricato separatamente e ha un compito diverso nell’intero flusso di controllo della frode.
Dividendo l’operazione in diversi moduli che dipendono dalla comunicazione del server Command and Control al fine di scaricare il componente successivo, i truffatori rendono l’attacco molto più difficile da analizzare perché è più complesso capire quali sono tutte le componenti coinvolte nella frode.
Il modulo di base si avvia creando una minaccia il cui unico scopo è quello di verificare la lista dei processi in esecuzione ogni 3 secondi. Ogni nome di processo viene confrontato con un elenco hard coded dei nomi del browser, su tre principali browser che vengono presi di mira: Internet Explorer, Firefox e Chrome.
Una volta che il malware identifica un processo di interesse, scrive il suo codice malevolo nella memoria del processo e lo esegue. Il malware utilizza un mutex per la sincronizzazione: un miglioramento significativo rispetto alla versione precedente che poteva gestire un solo processo del browser in esecuzione. Ora VBKlip può effettuare scambi di IBAN rispetto a tutti i browser in esecuzione.
Sebbene l’approccio utilizzato da questo malware possa sembrare piuttosto semplicistico se lo si compara con altri trojan già noti nel mondo delle frodi bancarie, bisogna notare che ha comunque successo ed è lecito ritenere che la sua evoluzione sia ancora in corso e non abbia raggiunto la sua forma definitiva.
