Mezzo: многоцелевая финансовая угроза. Новая вредоносная программа Mezzo охотится за реальными и криптовалютами

Вредоносы, атакующие бухгалтерское ПО, это совсем не редкость. Достаточно вспомнить, что около года назад аналитики «Лаборатории Касперского» о вредоносной кампании TwoBee, в ходе которой преступникам удалось похитить более 200 000 000 рублей, попросту редактируя текстовые файлы платежных поручений.

Теперь исследователи «Лаборатории Касперского» сообщают о новой похожей угрозе, получившей название Mezzo . В отличие от малвари TwoBee, которая подменяла реквизиты в файлах обмена между бухгалтерскими и банковскими системами, Mezzo пока просто отправляет собранную в зараженной системе информацию на сервер злоумышленников. Исследователи считают, что таким образом разработчики малвари могут готовиться к будущей кампании, а в данный момент находятся на этапе сбора информации о целях.

Пока количество жертв Mezzo исчисляется единицами, и большинство заражений было зафиксировано в России.

Исследователи пишут, что малварь с помощью сторонних программ-загрузчиков. Проникнув в систему, троян присваивает зараженной машине уникальный идентификатор, на основании которого на сервере злоумышленников создается папка для хранения всех файлов, найденных у жертвы. Вредоноса интересует «возраст» файлов (не старше недели) и наличии строчки 1CClientBankExchange в начале.

Как уже было сказано выше, основной интерес для Mezzo представляют текстовые файлы популярного бухгалтерского ПО, созданные менее двух минут назад. Функциональность трояна предполагает, что после обнаружения таких документов он ожидает, последует ли открытие диалогового окна для обмена информаций между бухгалтерской системой и банком. Если это произойдет, Mezzo может подменить реквизиты счета в файле непосредственно в момент передачи данных. В противном случае (если диалоговое окно не будет открыто через пять минут) Mezzo подменяет весь файл поддельным.

Также анализ кода Mezzo показал, что малварь может быть связана с другим известным трояном, который охотится за криптовалютами, . Исследователи обнаружили, что исходные коды Mezzo и вредоноса AlinaBot, который осуществлял загрузку CryptoShuffler в систему, практически идентичны. По всей видимости, за разработкой обеих угроз стоят одни и те же люди, а значит, их интересует не только бухгалтерское ПО, но и криптовалютные кошельки пользователей.

«Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций, – напоминает Сергей Юнаковский, антивирусный эксперт «Лаборатории Касперского». – Однако Mezzo отличается от своего “собрата”. С одной стороны, он использует более простой алгоритм поиска и проверки интересующих его файлов. Но при этом вполне вероятно, что одними лишь бухгалтерскими системами он не ограничивается. И это очень в духе современных вирусописателей, которые все чаще реализуют множество модулей и различных функций в рамках одного зловреда».

При заражении компьютера вирус присваивает ему уникальный номер, который используется для названия папки на сервере хакеров. В этой папке будут храниться файлы с компьютера жертвы. Главная цель Mezzo - обнаруживать и похищать документы бухгалтерских программ.

Он ждет

Также вирус умеет подменять реквизиты в счетах бухгалтерской программы. Для этого он постоянно ждет, когда пользователь откроет диалоговое окно с программой и банковской системой, и меняет содержания полей с реквизитами. Если пользователь не открывает это окно, то троян может заменять файл отчета целиком на поддельный. Но пока троян это не делает, а только собирает информацию и передает на сервер. Эксперты считают, что злоумышленники могут готовиться к массовой атаке.

Пока количество зараженных компьютеров исчисляется единицами, но большая часть из них находится в России. Но даже заражение компьютера в одной крупной компании может повлечь большие потери.

Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций

Сергей Юнаковский

эксперт «Лаборатории Касперского»

Кража криптовалют

В коде вируса Mezzo нашли прямую связь с программой AlinaBot, которую раньше хакеры использовали для кражи криптовалют. Она подменяла в буфере обмена адрес кошелька пользователя на адрес создателей вируса, и А заметить подмену сложно, потому что адрес состоит из беспорядочного набора чисел и букв.

Специалисты зафиксировали, что жертвы зловреда пока немногочисленны, однако большая часть заражений происходит в России, говорится в исследовании компании, сообщает ТАСС .

Программа на данный момент только собирает необходимую информацию, что может подразумевать подготовку к кампании по хищению денежных средств, считают специалисты "Лаборатории Касперского".

Главное отличие нового троянца от других заключается в упрощенном алгоритме поиска и проверки интересующих его файлов. Кроме того, специалисты предполагают, что троянец может распространиться за пределы бухгалтерских систем.

Распространение троянца происходит с помощью сторонних программ-загрузчиков. После попадания на устройство Mezzo создает уникальный идентификационный код для зараженного компьютера, после чего на сервере злоумышленников создается папка для хранения всех найденных у жертвы файлов.

Предполагается, что Mezzo использует текстовые файлы бухгалтерского программного обеспечения, которые были созданы менее двух минут назад. Обнаружив такие документы, троянец ожидает открытия диалогового окна для обмена информацией между "1С" и банком, после чего зловред может похитить денежные средства с помощью подмены реквизитов, полагают специалисты.

"ВFM.RU" приводит комментарий эксперта в области информационной безопасности Максима Эмм : "Такого рода троянцы, которые непосредственно занимаются переводами денежных средств по другими реквизитам, нежели предполагалось владельцем системы, наиболее опасны, особенно те, которые атакуют корпоративные системы. Очевидно, что на счетах компании денег на порядки больше, чем на счетах физлиц. Для физлиц такие вирусы, троянцы, довольно давно известны. Для корпоративного применения попадаются намного реже. Это серьезная угроза, потому что "1С: Бухгалтерия" у нас установлена в очень большом количестве организаций, и механизмы внутри "1С" защиты от такого рода троянцев, такого поведения отсутствуют. Поэтому очень большие могут быть потери у компании, если этот троянец своевременно не обнаружить: деньги физически уйдут на другие счета, после этого их нужно будет очень быстро доставать. Это тоже, в принципе, возможно, то есть от того, что деньги перечислены из одного банка в другой, совершенно не значит, что их невозможно будет вернуть, если очень быстро среагировать. Но большинство людей это не делают, поэтому я бы оценил уровень угрозы как достаточно высокий по сравнению с другими троянцами, которые не приводят к непосредственному перемещению денежных средств в результате заражения компьютера".

В "Лаборатории Касперского" предполагают, что Mezzo может быть тесно связан с троянцем CryptoShuffler, который похищает криптовалюту. Согласно исследованию, код троянца и программы, которая осуществляет загрузку CryptoShuffler, практически идентичен.

Специалисты считают, что за обоими зловредами стоят одни и те же вирусописатели, а, значит, их интерес может также затрагивать криптокошельки пользователей.

Эксперты «Лаборатории Касперского» обнаружили новую финансовую угрозу – вредоносная программа Mezzo, способная подменять реквизиты в файлах обмена между бухгалтерскими и банковскими системами. В настоящий момент зловред просто отправляет собранную с зараженного компьютера информацию на сервер злоумышленникам, и, по мнению аналитиков, это может говорить о том, что создатели троянца готовятся к будущей кампании. Количество жертв Mezzo пока исчисляется единицами, при этом большинство заражений зафиксировано в России.

Распространяется Mezzo с помощью сторонних программ-загрузчиков. После попадания на устройство троянец создает уникальный идентификатор для зараженного компьютера – на его основе на сервере злоумышленников создается папка для хранения всех найденных у жертвы файлов. Каждая из этих папок защищена паролем.

Основной интерес для Mezzo представляют текстовые файлы популярного бухгалтерского ПО, созданные менее двух минут назад. Функционал троянца предполагает, что после обнаружения таких документов он ждет, последует ли открытие диалогового окна для обмена информаций между бухгалтерской системой и банком. Если это произойдет, зловред может подменять реквизиты счета в файле непосредственно в момент передачи данных. В противном случае (если диалоговое окно так и не будет открыто) Mezzo подменяет весь файл поддельным.

Кроме того, анализ кода Mezzo показал, что зловред может быть связан с другим нашумевшим троянцем, охотящимся за криптовалютами, – CryptoShuffler. Эксперты «Лаборатории Касперского» обнаружили, что код Mezzo и программы AlinaBot, осуществляющей загрузку CryptoShuffler, идентичны практически до последней строчки. По всей видимости, за обоими зловредами стоят одни и те же вирусописатели, а, значит, их интерес может также затрагивать криптокошельки пользователей.

«Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций, – напоминает Сергей Юнаковский, антивирусный эксперт «Лаборатории Касперского». – Однако Mezzo отличается от своего «собрата». С одной стороны, он использует более простой алгоритм поиска и проверки интересующих его файлов. Но при этом вполне вероятно, что одними лишь бухгалтерскими системами он не ограничивается. И это очень в духе современных вирусописателей, которые все чаще реализуют множество модулей и различных функций в рамках одного зловреда».

Подробнее о возможностях троянца Mezzo можно узнать из аналитического отчета «Лаборатории Касперского»: