Det er ikke første gang, at Kaspersky Lab-analytikere er stødt på angreb på regnskabsprogrammer - for eksempel stødte vi for omkring et år siden på malwaren Trojan.Win32.TwoBee. Generelt blev angrebet på regnskabssystemet reduceret til at erstatte detaljer i de data, der blev downloadet fra databasen for banksystemer. Som følge heraf går pengebeløb til andres konti uden ejerens viden. I begyndelsen af ​​sin "karriere" modtog TwoBee-trojaneren data for at erstatte detaljer udefra, og senere "båret" den med sig selv, idet den kun sendte korte beskeder til serveren med information om resultaterne af sit arbejde.

Med hensyn til Mezzo Trojan, som vi ønsker at se på, sender den simpelthen tekstfiler til serveren uden at udføre nogen manipulationer med dem. Det betyder dog ikke, at der ikke er nogen trussel - tværtimod kan det tyde på, at forfatterne af malwaren forbereder sig på at fremtidige virksomhed og er i øjeblikket på stadiet med at indsamle oplysninger om mål.

Lad os se nærmere på nogle af funktionerne i denne trojaner. For at gøre dette vil vi se på to modifikationer af Mezzo – den ene er udelukkende designet til at indsamle oplysninger om eksisterende regnskabsfiler, mens den anden er i stand til at erstatte dem.

Et karakteristisk træk ved begge er oprettelsen af ​​en let genkendelig mutex i starten:

Informationsindsamlingsmodul

Når Mezzo begynder at arbejde, opretter den en unik identifikator for den inficerede computer:

Denne identifikator bruges som navnet på den mappe, hvor oplysninger om de fundne filer vil blive gemt:

Indholdet af arkivet er som følger:

Selve arkivet er beskyttet af en adgangskode (den tidligere oprettede identifikator, som også er navnet på arkivet, bruges i denne egenskab). I modsætning til TwoBee bruger Mezzo en enklere algoritme til at søge og scanne filer. For eksempel udførte TwoBee kun datasubstitution, hvis der var en bestemt minimumsbeløb transaktioner:

Kontrollerer minimumsbeløbet (500.000 ₽) i TwoBee

Derudover indsamlede TwoBee data om de overførte beløb.

Mezzo verificerer blot filens "alder" (bør ikke være ældre end en uge) og tilstedeværelsen af ​​linjen 1CClientBankExchange i begyndelsen:

Efter afslutning af søgningen pakkes dataene i et arkiv med en adgangskode og sendes til serveren.

Sender data

Struktur af en anmodning og svar fra Mezzo C&C-serveren

Udskiftningsmodul

Lad os nu finde ud af, hvordan Mezzo-modulet fungerer, hvis opgave er at erstatte regnskabsprogramfiler.

Trojaneren skaber tre udførelsestråde. Først ( trash_thread i skærmbilledet nedenfor) er ansvarlig for at modvirke sikkerhedssoftware - trojaneren tildeler enorme hukommelsesområder i en løkke og fylder dem med vilkårlige data: i "sandkasserne" i nogle sikkerhedsløsninger er behandlingen af ​​hukommelsesallokering og kontrol af dens lækager forskellig fra mekanismerne i "rigtige" operativsystemer, og sådanne anmodninger kan krænke deres arbejde. Den anden registrerer den "nyt inficerede" computer på kommando- og kontrolserveren. Den tredje er nødvendig for at polle C&C-serveren og overføre information om det inficerede system.

Begyndelsen af ​​den vigtigste Mezzo-procedure

Teknologi implementeret i affald _tråd

Mezzo opretter et unikt ID og sender det til serveren. I det tilfælde, hvor en kommando med kode 0x46 modtages fra serveren ( F først ) , overføres oplysninger om det inficerede system. Denne kommando opnås naturligvis første gang, du får adgang til en sådan identifikator.

Procedure få_opgaver vil slette indholdet af %TEMP%-mappen, når der modtages kode 0x34 ( 4 ).

Herefter vil trojaneren begynde at søge i hver af de logiske partitioner i filsystemet efter filer, der opfylder følgende kriterier:

• Oprettet for mindre end to minutter siden;
• I begyndelsen af ​​filen er der en linje 1CClientBankExchange;
• Udvidelse - .txt.

Den resulterende fil kopieres til adressen "%TEMP%\ .txt" og sendes til en ekstern server, hvorfra filen til erstatning vil blive modtaget. Denne fil vil blive gemt som "%TEMP%\ .txt". Programmet venter derefter på, at brugeren aktiverer bestemte programdialogbokse.

Søg dialogboks

Dette er nødvendigt for at erstatte filen med det samme på tidspunktet for dataoverførsel fra regnskabssystemet til banken. Ventetiden varer fem minutter, og hvis det påkrævede vindue ikke er åbent, vil trojaneren blot erstatte filen med en falsk, efter først at have forsøgt at stoppe processen 1cv8c.exe ved hjælp af SuspendThread. Når substitutionen er fuldført, vil trojaneren slette indholdet af mappen NY med filen modtaget fra kommando- og kontrolserveren.

Spor af CryptoShuffler

Efterforskningen sluttede dog ikke der. For nogen tid siden, vores analytikere og malware, der downloadede det til systemet. Det viste sig at være AlinaBot (ikke at forveksle med AlinaPOS), så navngivet på grund af titlen i C&C-servergodkendelsesvinduet:

På mange måder er denne almindelige downloader (vi vil se på dens funktioner næste gang) relateret til Mezzo.

Lad os først gennemgå de "svage" forbindelser:

Nu om de "stærke" beviser. Den første er en måde at generere en unik identifikator på. Den gendannede kode for Mezzo, AlinaBot og dens moduler matcher ned til sidste linje:

Det andet bevis er det faktum, at AlinaBot-moduler gemmer stjålne data på en lignende måde (bortset fra at en identifikator ikke altid bruges som en adgangskode):

AlinaBot-modulets arbejdsmappestruktur

Selv en overfladisk undersøgelse af koden afslører stilen hos forfatteren af ​​Mezzo - flittigt kopiering af et stort antal kodefragmenter.

AlinaBot-funktioner

Der er i alt seks kommandoer fra serveren (og "0", der indikerer ingen kommando), som AlinaBot modtager som svar på initialiseringsanmodningen som en streng af tegn:

Det er vigtigt, at kommandoerne behandles "to ad gangen" - i dette tilfælde vil der være to cyklusser med kontrol af inputværdierne. Følgelig vil enhederne på den lige position i linjen og på den ulige ene være forskellige i deres formål. For eksempel uploader kommando "2" på en ulige position en fil til en fast adresse, mens den på en lige position modtager et downloadlink.

Hold F (lige) angiver en anmodning om at downloade systemoplysninger og inkluderer følgende felter:

• Unik identifikator;
• Operativsystem version;
• Brugernavn;
• Computer navn;
• Computerens IP-adresse.

Hold 1 (ulige) uploader en fil til formularens adresse /plugins/downloaded/load_file.exe og starter den :

Hold 1 (lige) genstarter hoveddelen af ​​AlinaBot.

Hold 2 (ulige) downloader også filer fra C&C-serveren som kommandoen 1, dog på en anden linje /plugins/downloaded/load_file_gl.exe, og dens server viste aldrig aktivitet under undersøgelsen.

2 (lige) modtager fra serveren adressen, hvorfra filen skal downloades, og downloader og kører den derefter.

Typisk blev denne kommando brugt til at downloade malware fra Trojan-Banker.Win32.CryptoShuffler-familien

Hold 3 (lige) afslutter eksekveringen af ​​konsolapplikationsværten.

Nyttelast

Vi var i stand til at få de uploadede filer, de kan opdeles i to typer. Den første "kaprer" cryptocurrency-punge og browseradgangskoder. Tyveriet af tegnebøger udføres ved blot at søge i det inficerede system efter filer med navnet wallet.dat. At miste adgangskoder påvirker kun brugere af Chrome og Opera; begge browsere gemmer kontodata på lignende måde - i form af SQLLite-databaser på en adresse som " C:\Brugere\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\User Data\Default". Pluginnet åbner disse filer ved hjælp af SQLLite-biblioteket og forsøger at dekryptere dataene ved hjælp af en "tom adgangskode", hvis brugeren ikke har angivet en adgangskode til godkendelse. Malwaren sender de modtagne data til serveren i et ZIP-arkiv med en adgangskode 1 q 2w 3e 4r .

Gendannet kode til at udtrække adgangskodedata fra Chrome

Filer "lagres" på samme måde som Mezzo.

En sidste bemærkelsesværdig ting ved dette modul: forfatteren gik væk fra at bruge curl og lånte koden til en bestemt Anasazi: karakteristisk linje WARPCRYPT til stede i begge tilfælde. Plus, vi opdagede Anasazi-kildekoden på pastebin.

Sammenligning af den gendannede kode for AlinaBOT-modulet og Anasazi-kildekoden på Pastebin

Den anden uploadede fil har mulighed for at fjernstyre den inficerede computer. Dette modul i sig selv er ikke af særlig interesse, da det er en ganske almindelig bagdør, der for eksempel udfører følgende kommandoer:

• 0x403: Start task manager
• 0x406: Afslut Chrome-processen
• 0x40F: Start kommandolinje
• 0x413: Buffer visse data og send dem til det angivne vindue

MD 5

Informationsindsamlingsmodul:
Udskiftningsmodul: 1083439FAE49A745F007705281952CD9

AlinaBot

E2E7927C279C3740EA9821595FA2AA23

Kaspersky Lab-eksperter har opdaget en ny finansiel trussel – Mezzo-malwaren, som er i stand til at erstatte detaljer i filer, der udveksles mellem regnskabs- og banksystemer. I øjeblikket sender malwaren simpelthen information indsamlet fra den inficerede computer til serveren til angriberne, og ifølge analytikere kan det tyde på, at skaberne af trojaneren forbereder sig på en fremtidig kampagne. Antallet af ofre for Mezzo er stadig kun få, med størstedelen af ​​infektioner registreret i Rusland.

Mezzo distribueres ved hjælp af tredjepartsdownloadere. Efter at have nået enheden, opretter trojaneren en unik identifikator for den inficerede computer; baseret på den oprettes en mappe på angriberens server til at gemme alle filer fundet på offeret. Hver af disse mapper er beskyttet med adgangskode.

Mezzos hovedinteresse er i tekstfiler fra populær regnskabssoftware oprettet for mindre end to minutter siden. Trojanerens funktionalitet antager, at den efter at have opdaget sådanne dokumenter venter på at se, om der åbnes en dialogboks til udveksling af oplysninger mellem regnskabssystemet og banken. Hvis dette sker, kan malware erstatte kontooplysningerne i filen med det samme på tidspunktet for dataoverførsel. Ellers (hvis dialogen aldrig åbnes), erstatter Mezzo hele filen med en falsk.

Derudover viste analyse af Mezzo-koden, at malwaren kan være relateret til en anden sensationel trojaner, der jager efter kryptovalutaer, CryptoShuffler. Kaspersky Lab-eksperter fandt ud af, at koden til Mezzo og programmet AlinaBot, der downloader CryptoShuffler, er identiske næsten med sidste linje. Tilsyneladende står de samme virusskribenter bag begge malware, hvilket betyder, at deres interesse også kan påvirke brugernes krypto-punge.

"Det er ikke første gang, vi støder på malware, der angriber regnskabssoftware. Ved hjælp af en lignende TwoBee-trojaner, som vi opdagede for omkring et år siden, lykkedes det således angribere at stjæle mere end 200 millioner rubler fra russiske organisationer,” husker Sergey Yunakovsky, en antivirusekspert hos Kaspersky Lab. "Men Mezzo er anderledes end sin "bror." På den ene side bruger den en enklere algoritme til at søge og kontrollere filer af interesse. Men det er sandsynligt, at det ikke er begrænset til regnskabssystemer alene. Og dette er meget i ånden hos moderne virusskribenter, som i stigende grad implementerer mange moduler og forskellige funktioner inden for en enkelt malware."

Du kan lære mere om egenskaberne af Mezzo Trojan fra Kaspersky Labs analytiske rapport:

Malware angriber regnskabssoftware er ikke ualmindeligt. Det er tilstrækkeligt at huske, at analytikere fra Kaspersky Lab for omkring et år siden rapporterede om TwoBee ondsindede kampagne, hvor kriminelle formåede at stjæle mere end 200.000.000 rubler ved blot at redigere tekstfiler med betalingsordrer.

Nu rapporterer Kaspersky Lab-forskere om en ny lignende trussel kaldet Mezzo. I modsætning til TwoBee-malwaren, som erstattede detaljer i udvekslingsfiler mellem regnskabs- og banksystemer, sender Mezzo indtil videre blot de oplysninger, der er indsamlet i det inficerede system, til angribernes server. Forskere mener, at malware-udviklere på denne måde kan forberede sig på en fremtidig kampagne, men er i øjeblikket på stadiet med at indsamle information om mål.

Indtil videre er antallet af ofre for Mezzo kun få, og de fleste infektioner blev registreret i Rusland.

Forskere skriver, at malwaren er skabt ved hjælp af tredjeparts downloader-programmer. Efter at være trængt ind i systemet, tildeler trojaneren en unik identifikator til den inficerede maskine, baseret på hvilken en mappe oprettes på angriberens server til at gemme alle filer fundet på offeret. Malwaren er interesseret i "alderen" af filerne (ikke ældre end en uge) og tilstedeværelsen af ​​linjen 1CClientBankExchange i begyndelsen.

Som nævnt ovenfor er hovedinteressen for Mezzo tekstfiler af populær regnskabssoftware oprettet for mindre end to minutter siden. Trojanerens funktionalitet antager, at den efter at have opdaget sådanne dokumenter venter på at se, om der åbnes en dialogboks til udveksling af oplysninger mellem regnskabssystemet og banken. Hvis dette sker, kan Mezzo ændre de registrerede kontooplysninger straks på tidspunktet for dataoverførsel. Ellers (hvis dialogboksen ikke åbnes efter fem minutter), erstatter Mezzo hele filen med en falsk.

Venter på dialogboksen

En analyse af Mezzo-koden viste også, at malwaren kan være relateret til en anden velkendt trojaner, der jager efter kryptovalutaer, . Forskere opdagede, at kildekoderne til Mezzo og AlinaBot-malwaren, der indlæste CryptoShuffler i systemet, er næsten identiske. Tilsyneladende står de samme personer bag udviklingen af ​​begge trusler, hvilket betyder, at de ikke kun er interesserede i regnskabssoftware, men også i brugernes cryptocurrency-punge.

"Det er ikke første gang, vi støder på malware, der angriber regnskabssoftware. Ved hjælp af en lignende TwoBee-trojaner, som vi opdagede for omkring et år siden, lykkedes det således angribere at stjæle mere end 200 millioner rubler fra russiske organisationer,” husker Sergey Yunakovsky, en antivirusekspert hos Kaspersky Lab. "Men Mezzo er anderledes end sin "bror." På den ene side bruger den en enklere algoritme til at søge og kontrollere filer af interesse. Men det er sandsynligt, at det ikke er begrænset til regnskabssystemer alene. Og dette er meget i ånden hos moderne virusskribenter, som i stigende grad implementerer mange moduler og forskellige funktioner inden for en enkelt malware."

Kaspersky Lab har fundet en ny trojaner, der jager efter rigtige valutaer og kryptovalutaer

Kaspersky Labs eksperter har opdaget en ny finansiel trussel - Mezzo Trojan, som er i stand til at erstatte detaljer i filer, der udveksles mellem regnskabs- og banksystemer.

Kaspersky Labs eksperter har opdaget en ny finansiel trussel - Mezzo Trojan, som er i stand til at erstatte detaljer i filer, der udveksles mellem regnskabs- og banksystemer. I øjeblikket sender malwaren simpelthen information indsamlet fra den inficerede computer til serveren til angriberne, og ifølge analytikere kan det tyde på, at skaberne af trojaneren forbereder sig på en fremtidig kampagne. Antallet af ofre for Mezzo er stadig kun få, med størstedelen af ​​infektioner registreret i Rusland.

Mezzo distribueres ved hjælp af tredjepartsdownloadere. Efter at have nået enheden, opretter trojaneren en unik identifikator for den inficerede computer; baseret på den oprettes en mappe på angriberens server til at gemme alle filer fundet på offeret. Hver af disse mapper er beskyttet med adgangskode.

Mezzos hovedinteresse er i tekstfiler fra populær regnskabssoftware oprettet for mindre end to minutter siden. Trojanerens funktionalitet antager, at den efter at have opdaget sådanne dokumenter venter på at se, om der åbnes en dialogboks til udveksling af oplysninger mellem regnskabssystemet og banken. Hvis dette sker, kan malware erstatte kontooplysningerne i filen med det samme på tidspunktet for dataoverførsel. Ellers (hvis dialogen aldrig åbnes), erstatter Mezzo hele filen med en falsk.

Derudover viste analyse af Mezzo-koden, at malwaren kan være relateret til en anden sensationel trojaner, der jager efter kryptovalutaer, CryptoShuffler. Kaspersky Lab-eksperter fandt ud af, at koden til Mezzo og programmet AlinaBot, der downloader CryptoShuffler, er identiske næsten med sidste linje. Tilsyneladende står de samme virusskribenter bag begge malware, hvilket betyder, at deres interesse også kan påvirke brugernes krypto-punge.

"Det er ikke første gang, vi støder på malware, der angriber regnskabssoftware. Ved hjælp af en lignende TwoBee-trojaner, som vi opdagede for omkring et år siden, lykkedes det således angribere at stjæle mere end 200 millioner rubler fra russiske organisationer,” husker Sergey Yunakovsky, en antivirusekspert hos Kaspersky Lab. "Men Mezzo er anderledes end sin "bror." På den ene side bruger den en enklere algoritme til at søge og kontrollere filer af interesse. Men det er sandsynligt, at det ikke er begrænset til regnskabssystemer alene. Og dette er meget i ånden hos moderne virusskribenter, som i stigende grad implementerer mange moduler og forskellige funktioner inden for en enkelt malware."