Eksperci z zespołu CERT Polska, działającego w ramach instytutu badawczego NASK, poddali analizie wirusa VBKlip, który podmienia numery kont bankowych, w efekcie czego przelewy zamiast do adresatów trafiają do cyberprzestępców. Zdaniem specjalistów, którzy cały czas dostają zgłoszenia od osób zainfekowanych złośliwym oprogramowaniem, w chwili obecnej aktywne pozostają dwie wersje wirusa. Co ciekawe, twórcami VBKlip są najprawdopodobniej osoby znające język polski.
Mechanizm działania wirusa VBKlip jest nadzwyczaj prosty jak na zagrożenia tego typu. Złośliwe oprogramowanie wykorzystuje fakt, że wiele osób korzystających z bankowości elektronicznej kopiuje numer konta odbiorcy, a następnie wkleja go w odpowiednie pole. Gdy tylko użytkownik skopiuje 26 cyfrowy numer do schowka systemu Windows, czyli części pamięci komputera gdzie zapisywane są dane wskazane przez internautę, jest on podmieniany przez wirus na inny, należący do cyberprzestepców.
Po przeanalizowaniu kilkudziesięciu próbek VBKlip, specjaliści CERT Polska byli w stanie wydzielić dwie aktywne grupy wirusa: pierwszą napisaną w .NET i drugą stworzoną w Visual Basic 6. W przypadku tej pierwszej cyberprzestępcy zadbali o to, aby kolejne modyfikacje wirusa udawały aktualizacje popularnych programów. Uzyskują to dodając ikony oraz nazwy takiego oprogramowania jak: Adobe Flash Player, Facebook Chat czy Java. Z kolei twórcy drugiej grupy VBKlip stosują dwie podstawowe metody dystrybucji wirusa. Pierwsza to wiadomości kierowane do sprzedawców Allegro i sugerujące, że w załączonym pliku znajdowały się zdjęcia reklamowanego przedmiotu, który był wcześniej rzekomo zakupiony. Druga to informacje wysyłane przez cyberprzestępców do różnych firm, jakoby zawierające fakturę w formacie PDF. Twórcy wirusa to najprawdopodobniej osoby znające język polski, na co wskazują choćby nazwy plików wykonywalnych, w których znajdowało się szkodliwe oprogramowanie.
W ostatnich dniach specjaliści zespołu zaobserwowali nowe próbki VBKlip zarówno w wersji .NET, jak i Visual Basic. Zmiany te mogą wskazywać, że albo autor wirusa oddał bądź sprzedał swoje oprogramowanie komuś innemu, albo po prostu postanowił je przebudować.
– Twórcy VBKlip pokazali, jak cyberprzestępcy starają się wykorzystywać przyzwyczajenia i nieuwagę internatów do wyłudzenia środków zgromadzonych na koncie bankowym. Działalność analizowanego wirusa potwierdza, że szkodliwe oprogramowanie nie musi być skomplikowane w sensie technicznym, aby było w stanie skutecznie wyrządzać szkodę wielu użytkownikom – mówi Przemysław Jaroszewski z zespołu CERT Polska. – Dlatego tak ważne jest zachowanie szczególnej ostrożności na każdym etapie korzystania z bankowości elektronicznej – podkreśla Przemysław Jaroszewski.