Ovo nije prvi put da se analitičari kompanije Kaspersky Lab susreću sa napadima na računovodstvene programe – na primjer, prije otprilike godinu dana naišli smo na malver Trojan.Win32.TwoBee. Generalno, napad na računovodstveni sistem se sveo na zamjenu detalja u podacima preuzetim iz baze podataka za bankarske sisteme. Kao rezultat toga, iznos novca odlazi na tuđe račune bez znanja vlasnika. Na početku svoje “karijere” TwoBee trojanac je primao podatke za zamjenu detalja izvana, a kasnije ih je “nosio” sa sobom, šaljući serveru samo kratke poruke s informacijama o rezultatima svog rada.

Što se tiče Mezzo Trojanca, koji želimo da pogledamo, on jednostavno šalje tekstualne fajlove na server bez ikakvih manipulacija sa njima. Međutim, to ne znači da nema prijetnje – naprotiv, može ukazivati ​​na to da se autori zlonamjernog softvera spremaju da buduća kompanija i trenutno su u fazi prikupljanja informacija o ciljevima.

Pogledajmo pobliže neke od karakteristika ovog Trojanca. Da bismo to učinili, pogledat ćemo dvije modifikacije Mezzo-a – jedna je dizajnirana isključivo za prikupljanje informacija o postojećim računovodstvenim datotekama, dok je druga sposobna da ih zamijeni.

Karakteristična karakteristika oba je stvaranje lako prepoznatljivog muteksa na početku:

Modul za prikupljanje informacija

Kada Mezzo počne raditi, kreira jedinstveni identifikator za zaraženi računar:

Ovaj identifikator se koristi kao ime fascikle u kojoj će biti pohranjene informacije o pronađenim datotekama:

Sadržaj arhive je sljedeći:

Sama arhiva je zaštićena lozinkom (u tom svojstvu se koristi prethodno kreirani identifikator, koji je ujedno i naziv arhive). Za razliku od TwoBee-a, Mezzo koristi jednostavniji algoritam za pretraživanje i skeniranje datoteka. Na primjer, TwoBee je izvršio zamjenu podataka samo ako je postojao određeni minimalni iznos transakcije:

Provjera minimalnog iznosa (500.000 ₽) u TwoBee

Uz to, TwoBee je prikupljao podatke o prenesenim iznosima.

Mezzo jednostavno provjerava "starost" fajla (ne bi trebalo da bude stariji od nedelju dana) i prisustvo linije 1CClientBankExchange na njegovom početku:

Po završetku pretrage, podaci se pakuju u arhivu sa lozinkom i šalju na server.

Slanje podataka

Struktura zahtjeva i odgovora od Mezzo C&C servera

Supstitucijski modul

Sada shvatimo kako funkcionira modul Mezzo, čiji je zadatak zamijeniti datoteke računovodstvenog programa.

Trojanac kreira tri niti izvršavanja. Prvi ( trash_thread na snimku ekrana ispod) odgovoran je za suzbijanje sigurnosnog softvera - Trojanac dodjeljuje ogromne regije memorije u petlji i popunjava ih proizvoljnim podacima: u „sandboxovima“ nekih sigurnosnih rješenja, obrada dodjele memorije i kontrola njenog curenja se razlikuje iz mehanizama “pravih” operativnih sistema i takvi zahtjevi mogu narušiti njihov rad. Drugi registruje “svježe zaraženi” računar na komandno-kontrolnom serveru. Treći je neophodan za anketiranje C&C servera i prenošenje informacija o zaraženom sistemu.

Početak glavne Mezzo procedure

Tehnologija implementirana u smeće _thread

Mezzo kreira jedinstveni ID i šalje ga serveru. U slučaju kada se sa servera primi naredba sa kodom 0x46 ( F irst ) , prenose se informacije o zaraženom sistemu. Očigledno, ova komanda se dobija prvi put kada pristupite takvom identifikatoru.

Procedura get_tasksće izbrisati sadržaj foldera %TEMP% kada primi kod 0x34 ( 4 ).

Nakon ovoga, trojanac će početi da traži datoteke koje ispunjavaju sljedeće kriterije u svakoj od logičkih particija sistema datoteka:

• Kreirano prije manje od dvije minute;
• Na početku datoteke nalazi se red 1CClientBankExchange;
• Ekstenzija - .txt.

Dobijeni fajl se kopira na adresu “%TEMP%\ .txt" i prenosi se na udaljeni server sa kojeg će biti primljena datoteka za zamjenu. Ovaj fajl će biti sačuvan kao "%TEMP%\ .poruka". Program zatim čeka da korisnik pozove određene dijaloške okvire programa.

Dijaloški okvir za pretragu

Ovo je neophodno za zamjenu datoteke odmah u trenutku prijenosa podataka iz računovodstvenog sistema u banku. Čekanje traje pet minuta, a ako se ne otvori traženi prozor, trojanac će jednostavno zamijeniti datoteku lažnom, nakon što prvo pokuša zaustaviti proces 1cv8c.exe korišćenjem SuspendThread. Kada se zamena završi, trojanac će izbrisati sadržaj fascikle NOVO sa datotekom primljenom od komandnog i kontrolnog servera.

Tragovi CryptoShufflera

Međutim, istraga se tu nije završila. Prije nekog vremena naši analitičari i zlonamjerni softver koji ga je preuzeo u sistem. Ispostavilo se da je to AlinaBot (ne brkati sa AlinaPOS), nazvan tako zbog naslova u prozoru za autentifikaciju C&C servera:

Na mnogo načina, ovaj uobičajeni downloader (u nastavku ćemo pogledati njegove karakteristike) povezan je sa Mezzom.

Prvo, prođimo kroz "slabe" veze:

Sada o “jakim” dokazima. Prvi je način da se generiše jedinstveni identifikator. Obnovljeni kod Mezzo, AlinaBot i njegovih modula se poklapa do posljednjeg reda:

Drugi dokaz je činjenica da AlinaBot moduli pohranjuju ukradene podatke na sličan način (osim što se identifikator ne koristi uvijek kao lozinka):

Struktura radnog direktorija modula AlinaBot

Čak i površno ispitivanje koda otkriva stil autora Mezza - marljivo kopira veliki broj fragmenata koda.

AlinaBot funkcije

Postoji ukupno šest naredbi sa servera (i "0" označava da nema komande), koje AlinaBot prima kao odgovor na zahtjev za inicijalizaciju kao niz znakova:

Važno je da se komande obrađuju “po dvije” – u ovom slučaju će biti dva ciklusa provjere ulaznih vrijednosti. Shodno tome, jedinice na parnoj poziciji u liniji i na neparnoj će se razlikovati po svojoj namjeni. Na primjer, komanda “2” na neparnoj poziciji postavlja fajl na fiksnu adresu, dok na parnoj poziciji dobija link za preuzimanje.

Tim F (par) označava zahtjev za preuzimanje sistemskih informacija i uključuje sljedeća polja:

• Jedinstveni identifikator;
• Verzija operativnog sistema;
• Korisničko ime;
• Ime računara;
• IP adresa računara.

Tim 1 (neparan) učitava datoteku na adresu obrasca /plugins/downloaded/load_file.exe i pokreće ga :

Tim 1(paran) ponovo pokreće glavni deo AlinaBota.

Tim 2 (neparan) također preuzima datoteke sa C&C servera kao naredba 1, međutim na drugoj liniji /plugins/downloaded/load_file_gl.exe, a njegov server nikada nije pokazao aktivnost tokom studije.

2(paran) prima od servera adresu sa koje treba preuzeti datoteku, a zatim je preuzima i pokreće.

Obično se ova komanda koristila za preuzimanje zlonamjernog softvera iz porodice Trojan-Banker.Win32.CryptoShuffler

Tim 3(paran) prekida izvršavanje hosta aplikacije konzole.

Nosivost

Uspeli smo da dobijemo otpremljene fajlove koji se mogu podeliti u dve vrste. Prvi "otima" novčanike kriptovaluta i lozinke pretraživača. Krađa novčanika se postiže jednostavnim pretraživanjem zaraženog sistema za fajlove pod nazivom wallet.dat. Gubitak lozinki utiče samo na korisnike Chromea i Opera; oba pretraživača pohranjuju podatke o računu na sličan način - u obliku SQLLite baza podataka na adresi kao što je " C:\Korisnici\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\User Data\Default". Dodatak otvara ove datoteke koristeći SQLLite biblioteku i pokušava dešifrirati podatke koristeći “praznu lozinku”, u slučaju da korisnik nije naveo lozinku za autentifikaciju. Zlonamjerni softver šalje primljene podatke serveru u ZIP arhivi sa lozinkom 1 q 2w 3e 4r .

Oporavljen kod za vađenje podataka lozinke iz Chromea

Fajlovi se „pohranjuju“ na sličan način kao i Mezzo.

Još jedna stvar vrijedna pažnje u vezi sa ovim modulom: autor se odmaknuo od korištenja curl-a i posudio kod izvjesnog Anasazija: karakteristične linije WARPCRYPT prisutna u oba slučaja. Plus, otkrili smo izvorni kod Anasazi na pastebinu.

Poređenje obnovljenog koda AlinaBOT modula i Anasazi izvornog koda na Pastebinu

Drugi učitani fajl ima mogućnost daljinske kontrole zaraženog računara. Ovaj modul sam po sebi nije od posebnog interesa, budući da je prilično običan backdoor koji izvršava, na primjer, sljedeće naredbe:

• 0x403: Pokrenite upravitelj zadataka
• 0x406: Završi Chrome proces
• 0x40F: Pokrenite komandnu liniju
• 0x413: baferovati određene podatke i poslati ih u navedeni prozor

MD 5

Modul za prikupljanje informacija:
Zamjenski modul: 1083439FAE49A745F007705281952CD9

AlinaBot

E2E7927C279C3740EA9821595FA2AA23

Stručnjaci Kaspersky Lab-a otkrili su novu finansijsku prijetnju – Mezzo malver, koji može zamijeniti detalje u datotekama koje razmjenjuju računovodstveni i bankarski sistemi. Trenutno, zlonamjerni softver napadačima jednostavno šalje informacije prikupljene sa zaraženog računara na server, a to, prema mišljenju analitičara, može ukazivati ​​na to da se kreatori trojanca pripremaju za buduću kampanju. Broj žrtava Mezzo-a i dalje je mali, a većina infekcija zabilježena je u Rusiji.

Mezzo se distribuira pomoću programa za preuzimanje trećih strana. Nakon što dođe do uređaja, trojanac kreira jedinstveni identifikator za zaraženi računar; na osnovu njega se kreira folder na serveru napadača u koji se pohranjuju svi fajlovi pronađeni na žrtvi. Svaki od ovih foldera je zaštićen lozinkom.

Mezzovo glavno interesovanje je za tekstualne fajlove iz popularnog računovodstvenog softvera kreiranog pre manje od dva minuta. Funkcionalnost Trojanca pretpostavlja da nakon otkrivanja takvih dokumenata čeka da vidi da li će se otvoriti dijaloški okvir za razmjenu informacija između računovodstvenog sistema i banke. Ako se to dogodi, zlonamjerni softver može zamijeniti detalje računa u datoteci odmah u trenutku prijenosa podataka. U suprotnom (ako se dijalog nikada ne otvori), Mezzo ceo fajl zamenjuje lažnim.

Osim toga, analiza Mezzo koda pokazala je da je zlonamjerni softver možda povezan s drugim senzacionalnim trojancem koji lovi kriptovalute, CryptoShufflerom. Stručnjaci Kaspersky Lab-a su otkrili da su kod Mezzo-a i programa AlinaBot koji preuzima CryptoShuffler identični gotovo posljednjem redu. Očigledno, isti pisci virusa stoje iza oba zlonamjernog softvera, što znači da njihov interes također može utjecati na kripto novčanike korisnika.

“Ovo nije prvi put da se susrećemo sa zlonamjernim softverom koji napada računovodstveni softver. Tako su uz pomoć sličnog TwoBee trojanca koji smo otkrili prije otprilike godinu dana, napadači uspjeli ukrasti više od 200 miliona rubalja od ruskih organizacija”, prisjeća se Sergej Yunakovsky, stručnjak za antivirusne programe u Kaspersky Lab. „Međutim, Mezzo se razlikuje od svog „brata“. S jedne strane, koristi jednostavniji algoritam za pretraživanje i provjeru datoteka od interesa. Ali vjerovatno je da to nije ograničeno samo na računovodstvene sisteme. I to je u velikoj mjeri u duhu modernih pisaca virusa, koji sve više implementiraju mnoge module i različite funkcije unutar jednog zlonamjernog softvera.”

Više o mogućnostima Mezzo Trojanca možete saznati iz analitičkog izvještaja Kaspersky Lab:

Zlonamjerni softver koji napada računovodstveni softver nije neuobičajen. Dovoljno je prisjetiti se da su prije otprilike godinu dana analitičari Kaspersky Lab-a izvijestili o zlonamjernoj kampanji TwoBee, tokom koje su kriminalci uspjeli ukrasti više od 200.000.000 rubalja jednostavnim uređivanjem tekstualnih datoteka naloga za plaćanje.

Sada istraživači Kaspersky Lab-a prijavljuju novu, sličnu prijetnju pod nazivom Mezzo. Za razliku od zlonamjernog softvera TwoBee, koji je zamijenio detalje u datotekama za razmjenu između računovodstvenih i bankarskih sistema, Mezzo do sada jednostavno šalje informacije prikupljene u zaraženom sistemu na server napadača. Istraživači vjeruju da se na ovaj način programeri zlonamjernog softvera mogu pripremiti za buduću kampanju, ali su trenutno u fazi prikupljanja informacija o ciljevima.

Do sada je broj žrtava Mezza samo nekoliko, a najviše zaraženih zabilježeno je u Rusiji.

Istraživači pišu da je zlonamjerni softver kreiran pomoću programa za preuzimanje treće strane. Nakon prodora u sistem, trojanac zaraženoj mašini dodeljuje jedinstveni identifikator, na osnovu kojeg se kreira fascikla na serveru napadača za skladištenje svih fajlova pronađenih na žrtvi. Malver zanima „starost“ fajlova (ne starije od nedelju dana) i prisustvo linije 1CClientBankExchange na početku.

Kao što je već spomenuto, glavni interes za Mezzo su tekstualne datoteke popularnog računovodstvenog softvera kreirane prije manje od dva minuta. Funkcionalnost Trojanca pretpostavlja da nakon otkrivanja takvih dokumenata čeka da vidi da li će se otvoriti dijalog za razmjenu informacija između računovodstvenog sistema i banke. Ako se to dogodi, Mezzo može promijeniti detalje računa u fajlu odmah u trenutku prijenosa podataka. U suprotnom (ako se dijaloški okvir ne otvori nakon pet minuta), Mezzo će zamijeniti cijeli fajl lažnim.

Čeka se okvir za dijalog

Takođe, analiza Mezzo koda je pokazala da je malver možda povezan sa drugim poznatim trojancem koji lovi kriptovalute, . Istraživači su otkrili da su izvorni kodovi Mezzo-a i zlonamjernog softvera AlinaBot koji je učitao CryptoShuffler u sistem gotovo identični. Očigledno, isti ljudi stoje iza razvoja obje prijetnje, što znači da su zainteresirani ne samo za računovodstveni softver, već i za korisničke novčanike kriptovaluta.

“Ovo nije prvi put da se susrećemo sa zlonamjernim softverom koji napada računovodstveni softver. Tako su uz pomoć sličnog TwoBee trojanca koji smo otkrili prije otprilike godinu dana, napadači uspjeli ukrasti više od 200 miliona rubalja od ruskih organizacija”, prisjeća se Sergej Yunakovsky, stručnjak za antivirusne programe u Kaspersky Lab. „Međutim, Mezzo se razlikuje od svog „brata“. S jedne strane, koristi jednostavniji algoritam za pretraživanje i provjeru datoteka od interesa. Ali vjerovatno je da to nije ograničeno samo na računovodstvene sisteme. I to je u velikoj mjeri u duhu modernih pisaca virusa, koji sve više implementiraju mnoge module i različite funkcije unutar jednog zlonamjernog softvera.”

Kaspersky Lab je pronašao novog trojanca koji lovi prave i kriptovalute

Stručnjaci kompanije Kaspersky Lab otkrili su novu finansijsku prijetnju - Mezzo Trojan, koji je sposoban zamijeniti detalje u datotekama koje razmjenjuju računovodstveni i bankarski sistemi.

Stručnjaci kompanije Kaspersky Lab otkrili su novu finansijsku prijetnju - Mezzo Trojan, koji je sposoban zamijeniti detalje u datotekama koje razmjenjuju računovodstveni i bankarski sistemi. Trenutno, zlonamjerni softver napadačima jednostavno šalje informacije prikupljene sa zaraženog računara na server, a to, prema mišljenju analitičara, može ukazivati ​​na to da se kreatori trojanca pripremaju za buduću kampanju. Broj žrtava Mezzo-a i dalje je mali, a većina infekcija zabilježena je u Rusiji.

Mezzo se distribuira pomoću programa za preuzimanje trećih strana. Nakon što dođe do uređaja, trojanac kreira jedinstveni identifikator za zaraženi računar; na osnovu njega se kreira folder na serveru napadača u koji se pohranjuju svi fajlovi pronađeni na žrtvi. Svaki od ovih foldera je zaštićen lozinkom.

Mezzovo glavno interesovanje je za tekstualne fajlove iz popularnog računovodstvenog softvera kreiranog pre manje od dva minuta. Funkcionalnost Trojanca pretpostavlja da nakon otkrivanja takvih dokumenata čeka da vidi da li će se otvoriti dijaloški okvir za razmjenu informacija između računovodstvenog sistema i banke. Ako se to dogodi, zlonamjerni softver može zamijeniti detalje računa u datoteci odmah u trenutku prijenosa podataka. U suprotnom (ako se dijalog nikada ne otvori), Mezzo ceo fajl zamenjuje lažnim.

Osim toga, analiza Mezzo koda pokazala je da je zlonamjerni softver možda povezan s drugim senzacionalnim trojancem koji lovi kriptovalute, CryptoShufflerom. Stručnjaci Kaspersky Lab-a su otkrili da su kod Mezzo-a i programa AlinaBot koji preuzima CryptoShuffler identični gotovo posljednjem redu. Očigledno, isti pisci virusa stoje iza oba zlonamjernog softvera, što znači da njihov interes također može utjecati na kripto novčanike korisnika.

“Ovo nije prvi put da se susrećemo sa zlonamjernim softverom koji napada računovodstveni softver. Tako su uz pomoć sličnog TwoBee trojanca koji smo otkrili prije otprilike godinu dana, napadači uspjeli ukrasti više od 200 miliona rubalja od ruskih organizacija”, prisjeća se Sergej Yunakovsky, stručnjak za antivirusne programe u Kaspersky Lab. „Međutim, Mezzo se razlikuje od svog „brata“. S jedne strane, koristi jednostavniji algoritam za pretraživanje i provjeru datoteka od interesa. Ali vjerovatno je da to nije ograničeno samo na računovodstvene sisteme. I to je u velikoj mjeri u duhu modernih pisaca virusa, koji sve više implementiraju mnoge module i različite funkcije unutar jednog zlonamjernog softvera.”