Эксперты «Лаборатории Касперского» нашли новую троянскую программу Mezzo, способную обнаруживать и похищать данные бухгалтерских программ.

Она существует в двух версиях: одна собирает на зараженном устройстве информацию о связанных с финансовой отчетностью файлах, другая подменяет реквизиты в документах в момент передачи данных. По словам исследователей, пока работает только первый модуль Mezzo, предназначенный для сбора данных.

Заражение происходит через дропперы. После попадания на компьютер Mezzo присваивает ему уникальный идентификатор, который становится также именем папки, где будет храниться информация о найденных файлах. Каждая такая папка защищена паролем.

Точно так же, как обнаруженный «Лабораторией Касперского» больше года назад TwoBee, Mezzo начинает искать и проверять файлы на устройстве. Однако, в отличие от TwoBee, новый троян значительно упростил эту процедуру: его не интересуют данные о минимальной сумме транзакции, он просто удостоверяется в «возрасте» файла — не старше недели — и наличии строчки 1CClientBankExchange в его начале. По завершении поиска данные упаковываются в архив с паролем и отправляются на сервер.

В задачу второго модуля Mezzo входит подмена файлов бухгалтерской программы. Выполнение идет в три потока: первый регистрирует компьютер на командном сервере, второй передает информацию о зараженной системе, третий противодействует защитному ПО, выделяя огромные области памяти в цикле и наполняя их произвольными данными. Это может нарушить работу операционных систем и антивирусов.

После этого троян начинает искать файлы, соответствующие тем же критериям, что и в первом модуле, только теперь txt-документ должен быть создан менее двух минут назад. Найденное Mezzo передает на удаленный сервер, получая обратно подложный файл. Затем программа ждет, когда пользователь откроет диалоговое окно для обмена информацией между бухгалтерской системой и банком.

Далее троян подменяет реквизиты счета в файле непосредственно в момент передачи данных. Если же нужное окно не будет открыто, он заменяет файл поддельным, предварительно попытавшись остановить процесс 1cv8c.exe с помощью SuspendThread.

Исследователи, занимавшиеся анализом Mezzo, считают, что он может быть связан с трояном CryptoShuffler, охотящимся за криптовалютами. Зловред AlinaBot, осуществляющий загрузку CryptoShuffler в систему, вероятнее всего, написан автором Mezzo: оба генерируют уникальный идентификатор и хранят украденные данные похожим образом, а их коды совпадают до последней строчки. Выгружаемые AlinaBot файлы — это криптовалютные кошельки и пароли браузеров. Значит, злоумышленников могут интересовать не только банковские операции, но и содержимое криптокошельков.

В настоящее время выявлены единичные случаи заражения Mezzo, большинство из них зафиксировано в России.

Категории: Вредоносные программы, Мошенничество