Με επιθέσεις στις λογιστικά προγράμματαΔεν είναι η πρώτη φορά που οι αναλυτές της Kaspersky Lab αντιμετωπίζουν αυτό το πρόβλημα - για παράδειγμα, πριν από περίπου ένα χρόνο αντιμετωπίσαμε το κακόβουλο λογισμικό Trojan.Win32.TwoBee. Γενικά, η επίθεση στο λογιστικό σύστημα περιορίστηκε στην αντικατάσταση λεπτομερειών στα δεδομένα που λήφθηκαν από τη βάση δεδομένων για τα τραπεζικά συστήματα. Ως αποτέλεσμα, χρηματικά ποσά πηγαίνουν σε λογαριασμούς άλλων εν αγνοία του ιδιοκτήτη. Στην αρχή της «καριέρας» του, το TwoBee Trojan έλαβε δεδομένα για να αντικαταστήσει λεπτομέρειες από το εξωτερικό, και αργότερα το «κουβάλησε» στον εαυτό του, στέλνοντας μόνο σύντομα μηνύματα στον διακομιστή με πληροφορίες σχετικά με τα αποτελέσματα της δουλειάς του.

Όσο για το Mezzo Trojan, το οποίο θέλουμε να δούμε, απλά στέλνει αρχεία κειμένου στον διακομιστή χωρίς να κάνει κανέναν χειρισμό με αυτά. Ωστόσο, αυτό δεν σημαίνει ότι δεν υπάρχει απειλή - αντίθετα, μπορεί να υποδηλώνει ότι οι συντάκτες του κακόβουλου λογισμικού ετοιμάζονται να μελλοντική εταιρείακαι βρίσκονται αυτή τη στιγμή στο στάδιο της συλλογής πληροφοριών σχετικά με τους στόχους.

Ας ρίξουμε μια πιο προσεκτική ματιά σε ορισμένες από τις δυνατότητες αυτού του Trojan Για να το κάνουμε αυτό, θα δούμε δύο τροποποιήσεις του Mezzo - η μία έχει σχεδιαστεί αποκλειστικά για τη συλλογή πληροφοριών σχετικά με υπάρχοντα λογιστικά αρχεία, ενώ η δεύτερη μπορεί να τα αντικαταστήσει.

Χαρακτηριστικό και των δύο είναι η δημιουργία ενός εύκολα αναγνωρίσιμου mutex στην αρχή:

Ενότητα συλλογής πληροφοριών

Μόλις το Mezzo αρχίσει να λειτουργεί, δημιουργεί ένα μοναδικό αναγνωριστικό για τον μολυσμένο υπολογιστή:

Αυτό το αναγνωριστικό χρησιμοποιείται ως το όνομα του φακέλου όπου θα αποθηκευτούν πληροφορίες σχετικά με τα αρχεία που βρέθηκαν:

Τα περιεχόμενα του αρχείου έχουν ως εξής:

Το ίδιο το αρχείο προστατεύεται από έναν κωδικό πρόσβασης (το αναγνωριστικό που δημιουργήθηκε προηγουμένως, το οποίο είναι επίσης το όνομα του αρχείου, χρησιμοποιείται με αυτήν την ιδιότητα). Σε αντίθεση με το TwoBee, το Mezzo χρησιμοποιεί έναν απλούστερο αλγόριθμο για την αναζήτηση και τη σάρωση αρχείων. Για παράδειγμα, η TwoBee πραγματοποίησε αντικατάσταση δεδομένων μόνο εάν υπήρχε κάποια συγκεκριμένη ελάχιστο ποσόσυναλλαγές:

Έλεγχος του ελάχιστου ποσού (500.000 ₽) στο TwoBee

Επιπλέον, η TwoBee συνέλεξε δεδομένα για τα ποσά που μεταφέρθηκαν.

Το Mezzo απλώς επαληθεύει την «ηλικία» του αρχείου (δεν πρέπει να είναι μεγαλύτερη από μια εβδομάδα) και την παρουσία της γραμμής 1CClientBankExchangeστην αρχή του:

Με την ολοκλήρωση της αναζήτησης, τα δεδομένα συσκευάζονται σε ένα αρχείο με κωδικό πρόσβασης και αποστέλλονται στον διακομιστή.

Αποστολή δεδομένων

Δομή αιτήματος και απάντησης από τον διακομιστή C&C Mezzo

Ενότητα αντικατάστασης

Τώρα ας μάθουμε πώς λειτουργεί η μονάδα Mezzo, η αποστολή της οποίας είναι να αντικαταστήσει τα αρχεία προγράμματος λογιστικής.

Το Trojan δημιουργεί τρία νήματα εκτέλεσης. Πρώτα ( trash_threadστο στιγμιότυπο οθόνης παρακάτω) είναι υπεύθυνος για την αντιμετώπιση του λογισμικού ασφαλείας - ο Trojan εκχωρεί τεράστιες περιοχές μνήμης σε βρόχο και τις γεμίζει με αυθαίρετα δεδομένα: στα "sandboxes" ορισμένων λύσεων ασφαλείας, η επεξεργασία της κατανομής μνήμης και ο έλεγχος των διαρροών του διαφέρει από τους μηχανισμούς των «πραγματικών» λειτουργικών συστημάτων και τέτοια αιτήματα μπορεί να παραβιάζουν το έργο τους. Το δεύτερο καταχωρεί τον «φρέσκο ​​μολυσμένο» υπολογιστή στον διακομιστή εντολών και ελέγχου. Το τρίτο είναι απαραίτητο για τη δημοσκόπηση του διακομιστή C&C και τη μετάδοση πληροφοριών σχετικά με το μολυσμένο σύστημα.

Έναρξη της κύριας διαδικασίας Mezzo

Τεχνολογία που εφαρμόζεται σε σκουπίδια _νήμα

Το Mezzo δημιουργεί ένα μοναδικό αναγνωριστικό και το στέλνει στον διακομιστή. Στην περίπτωση που ληφθεί εντολή με κωδικό 0x46 από τον διακομιστή ( φάπρώτον ) , μεταδίδονται πληροφορίες σχετικά με το μολυσμένο σύστημα. Προφανώς, αυτή η εντολή λαμβάνεται την πρώτη φορά που αποκτάτε πρόσβαση σε ένα τέτοιο αναγνωριστικό.

Διαδικασία get_tasksθα διαγράψει τα περιεχόμενα του φακέλου %TEMP% κατά τη λήψη του κωδικού 0x34 ( 4 ).

Μετά από αυτό, ο Trojan θα ξεκινήσει την αναζήτηση σε κάθε ένα από τα λογικά διαμερίσματα του συστήματος αρχείων για αρχεία που πληρούν τα ακόλουθα κριτήρια:

• Δημιουργήθηκε πριν από λιγότερο από δύο λεπτά.
• Στην αρχή του αρχείου υπάρχει μια γραμμή 1CClientBankExchange.
• Επέκταση - .txt.

Το αρχείο που προκύπτει αντιγράφεται στη διεύθυνση "%TEMP%\ .txt" και μεταδίδεται σε απομακρυσμένο διακομιστή, από τον οποίο θα ληφθεί το αρχείο προς αντικατάσταση. Αυτό το αρχείο θα αποθηκευτεί ως "%TEMP%\ .txt". Στη συνέχεια, το πρόγραμμα περιμένει από τον χρήστη να καλέσει ορισμένα παράθυρα διαλόγου προγράμματος.

Πλαίσιο διαλόγου αναζήτησης

Αυτό είναι απαραίτητο για την άμεση αντικατάσταση του αρχείου κατά τη μεταφορά δεδομένων από το λογιστικό σύστημα στην τράπεζα. Η αναμονή διαρκεί πέντε λεπτά και εάν το απαιτούμενο παράθυρο δεν είναι ανοιχτό, ο Trojan απλώς θα αντικαταστήσει το αρχείο με ένα ψεύτικο, αφού πρώτα προσπαθήσει να σταματήσει τη διαδικασία 1cv8c.exeμε τη χρήση SuspendThread. Μόλις ολοκληρωθεί η αντικατάσταση, ο Trojan θα διαγράψει τα περιεχόμενα του φακέλου ΝΕΟΣμε το αρχείο που λαμβάνεται από τον διακομιστή εντολών και ελέγχου.

Ίχνη CryptoShuffler

Ωστόσο, η έρευνα δεν τελείωσε εκεί. Πριν από λίγο καιρό, οι αναλυτές μας και το κακόβουλο λογισμικό που το κατέβασε στο σύστημα. Αποδείχθηκε ότι ήταν το AlinaBot (δεν πρέπει να συγχέεται με το AlinaPOS), ονομάστηκε έτσι λόγω του τίτλου στο παράθυρο ελέγχου ταυτότητας διακομιστή C&C:

Από πολλές απόψεις, αυτό το κοινό πρόγραμμα λήψης (θα δούμε τα χαρακτηριστικά του στη συνέχεια) σχετίζεται με το Mezzo.

Αρχικά, ας δούμε τις «αδύναμες» συνδέσεις:

Τώρα για τα «ισχυρά» στοιχεία. Ο πρώτος είναι ένας τρόπος δημιουργίας ενός μοναδικού αναγνωριστικού. Ο αποκατασταμένος κώδικας του Mezzo, του AlinaBot και των λειτουργικών μονάδων του ταιριάζει μέχρι την τελευταία γραμμή:

Η δεύτερη απόδειξη είναι το γεγονός ότι οι μονάδες AlinaBot αποθηκεύουν κλεμμένα δεδομένα με παρόμοιο τρόπο (εκτός από το ότι ένα αναγνωριστικό δεν χρησιμοποιείται πάντα ως κωδικός πρόσβασης):

Δομή καταλόγου εργασίας λειτουργικής μονάδας AlinaBot

Ακόμη και μια επιφανειακή εξέταση του κώδικα αποκαλύπτει το ύφος του συγγραφέα του Mezzo - αντιγράφοντας επιμελώς μεγάλο αριθμό θραυσμάτων κώδικα.

Λειτουργίες AlinaBot

Υπάρχουν συνολικά έξι εντολές από τον διακομιστή (και το "0" που υποδεικνύει καμία εντολή), τις οποίες το AlinaBot λαμβάνει ως απόκριση στο αίτημα προετοιμασίας ως μια συμβολοσειρά χαρακτήρων:

Είναι σημαντικό οι εντολές να υποβάλλονται σε επεξεργασία "δύο τη φορά" - σε αυτήν την περίπτωση θα υπάρχουν δύο κύκλοι ελέγχου των τιμών εισόδου. Αντίστοιχα, οι μονάδες στην άρτια θέση της γραμμής και στη μονή θα διαφέρουν ως προς τον σκοπό τους. Για παράδειγμα, η εντολή «2» σε περιττή θέση ανεβάζει ένα αρχείο σε σταθερή διεύθυνση, ενώ σε ζυγή θέση λαμβάνει έναν σύνδεσμο λήψης.

Ομάδα F (ζυγό)υποδηλώνει αίτημα λήψης πληροφοριών συστήματος και περιλαμβάνει τα ακόλουθα πεδία:

• Μοναδικό αναγνωριστικό.
• Έκδοση λειτουργικού συστήματος;
• Όνομα χρήστη;
• Όνομα υπολογιστή;
• Διεύθυνση IP υπολογιστή.

Ομάδα 1 (περίεργο)ανεβάζει ένα αρχείο στη διεύθυνση της φόρμας /plugins/downloaded/load_file.exe και το εκκινεί :

Ομάδα 1 (ζυγό)επανεκκινεί το κύριο σώμα του AlinaBot.

Ομάδα 2 (περίον)επίσης κατεβάζει αρχεία από τον διακομιστή C&C όπως η εντολή 1, όμως σε άλλη γραμμή /plugins/downloaded/load_file_gl.exe και ο διακομιστής του δεν έδειξε ποτέ δραστηριότητα κατά τη διάρκεια της μελέτης.

2 (ζυγό)λαμβάνει από τον διακομιστή τη διεύθυνση από την οποία πρέπει να γίνει λήψη του αρχείου και στη συνέχεια το κατεβάζει και το εκτελεί.

Συνήθως, αυτή η εντολή χρησιμοποιήθηκε για τη λήψη κακόβουλου λογισμικού από την οικογένεια Trojan-Banker.Win32.CryptoShuffler

Ομάδα 3 (ζυγό)τερματίζει την εκτέλεση του κεντρικού υπολογιστή της εφαρμογής κονσόλας.

Φορτίο επί πληρωμή

Καταφέραμε να λάβουμε τα μεταφορτωμένα αρχεία που μπορούν να χωριστούν σε δύο τύπους. Το πρώτο «πειρατεύει» πορτοφόλια κρυπτονομισμάτων και κωδικούς πρόσβασης προγράμματος περιήγησης. Η κλοπή πορτοφολιών πραγματοποιείται με απλή αναζήτηση στο μολυσμένο σύστημα για αρχεία με το όνομα wallet.dat. Η απώλεια κωδικών πρόσβασης επηρεάζει μόνο τους χρήστες του Chrome και της Opera και τα δύο προγράμματα περιήγησης αποθηκεύουν δεδομένα λογαριασμού με παρόμοιο τρόπο - με τη μορφή βάσεων δεδομένων SQLLite σε μια διεύθυνση όπως ". Γ:\Χρήστες\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\User Data\Default". Το πρόσθετο ανοίγει αυτά τα αρχεία χρησιμοποιώντας τη βιβλιοθήκη SQLLite και προσπαθεί να αποκρυπτογραφήσει τα δεδομένα χρησιμοποιώντας έναν «κενό κωδικό πρόσβασης», σε περίπτωση που ο χρήστης δεν έχει καθορίσει κωδικό πρόσβασης για έλεγχο ταυτότητας. Το κακόβουλο λογισμικό στέλνει τα δεδομένα που λαμβάνονται στον διακομιστή σε ένα αρχείο ZIP με κωδικό πρόσβασης 1 q 2w 3e 4r .

Ανακτήθηκε ο κώδικας για την εξαγωγή δεδομένων κωδικού πρόσβασης από το Chrome

Τα αρχεία «αποθηκεύονται» με παρόμοιο τρόπο όπως το Mezzo.

Ένα τελευταίο αξιοσημείωτο πράγμα σχετικά με αυτήν την ενότητα: ο συγγραφέας απομακρύνθηκε από τη χρήση του curl και δανείστηκε τον κώδικα ενός συγκεκριμένου Anasazi: χαρακτηριστική γραμμή WARPCRYPTυπάρχει και στις δύο περιπτώσεις. Επιπλέον, ανακαλύψαμε τον πηγαίο κώδικα Anasazi στο pastebin.

Σύγκριση του αποκατεστημένου κώδικα της ενότητας AlinaBOT και του πηγαίου κώδικα Anasazi στο Pastebin

Το δεύτερο μεταφορτωμένο αρχείο έχει τη δυνατότητα απομακρυσμένου ελέγχου του μολυσμένου υπολογιστή. Αυτή η ίδια η ενότητα δεν παρουσιάζει ιδιαίτερο ενδιαφέρον, καθώς είναι μια αρκετά συνηθισμένη κερκόπορτα που εκτελεί, για παράδειγμα, τις ακόλουθες εντολές:

• 0x403: Εκκινήστε τη διαχείριση εργασιών
• 0x406: Τερματισμός της διαδικασίας Chrome
• 0x40F: Εκκίνηση γραμμής εντολών
• 0x413: Αποθηκεύστε προσωρινά ορισμένα δεδομένα και στείλτε τα στο καθορισμένο παράθυρο

MD 5

Ενότητα συλλογής πληροφοριών:
Μονάδα αντικατάστασης: 1083439FAE49A745F007705281952CD9

AlinaBot

E2E7927C279C3740EA9821595FA2AA23

Οι ειδικοί της Kaspersky Lab ανακάλυψαν μια νέα οικονομική απειλή – το κακόβουλο λογισμικό Mezzo, το οποίο είναι σε θέση να αντικαταστήσει τις λεπτομέρειες σε αρχεία που ανταλλάσσονται μεταξύ λογιστικών και τραπεζικών συστημάτων. Προς το παρόν, το κακόβουλο λογισμικό απλώς στέλνει πληροφορίες που συλλέγονται από τον μολυσμένο υπολογιστή στον διακομιστή στους εισβολείς και, σύμφωνα με τους αναλυτές, αυτό μπορεί να υποδηλώνει ότι οι δημιουργοί του Trojan προετοιμάζονται για μια μελλοντική καμπάνια. Ο αριθμός των θυμάτων του Mezzo είναι ακόμη λίγα, με την πλειονότητα των μολύνσεων να καταγράφονται στη Ρωσία.

Το Mezzo διανέμεται χρησιμοποιώντας προγράμματα λήψης τρίτων. Αφού φτάσει στη συσκευή, το Trojan δημιουργεί ένα μοναδικό αναγνωριστικό για τον μολυσμένο υπολογιστή με βάση αυτό, δημιουργείται ένας φάκελος στον διακομιστή των εισβολέων για την αποθήκευση όλων των αρχείων που βρίσκονται στο θύμα. Κάθε ένας από αυτούς τους φακέλους προστατεύεται με κωδικό πρόσβασης.

Το κύριο ενδιαφέρον του Mezzo είναι τα αρχεία κειμένου από δημοφιλές λογιστικό λογισμικό που δημιουργήθηκαν πριν από λιγότερο από δύο λεπτά. Η λειτουργικότητα του Trojan προϋποθέτει ότι μετά τον εντοπισμό τέτοιων εγγράφων, περιμένει να δει αν θα ανοίξει ένα παράθυρο διαλόγου για την ανταλλαγή πληροφοριών μεταξύ του λογιστικού συστήματος και της τράπεζας. Εάν συμβεί αυτό, το κακόβουλο λογισμικό μπορεί να αντικαταστήσει τα στοιχεία λογαριασμού στο αρχείο αμέσως τη στιγμή της μεταφοράς δεδομένων. Διαφορετικά (εάν το παράθυρο διαλόγου δεν ανοίξει ποτέ), το Mezzo αντικαθιστά ολόκληρο το αρχείο με ένα ψεύτικο.

Επιπλέον, η ανάλυση του κώδικα Mezzo έδειξε ότι το κακόβουλο λογισμικό μπορεί να σχετίζεται με έναν άλλο διαβόητο Trojan που κυνηγά κρυπτονομίσματα, το CryptoShuffler. Οι ειδικοί της Kaspersky Lab διαπίστωσαν ότι ο κώδικας του Mezzo και του προγράμματος AlinaBot που κατεβάζει το CryptoShuffler είναι πανομοιότυποι σχεδόν με την τελευταία γραμμή. Προφανώς, οι ίδιοι συντάκτες ιών βρίσκονται πίσω από και τα δύο κακόβουλα προγράμματα, πράγμα που σημαίνει ότι το ενδιαφέρον τους μπορεί επίσης να επηρεάσει τα κρυπτογραφικά πορτοφόλια των χρηστών.

«Δεν είναι η πρώτη φορά που αντιμετωπίζουμε κακόβουλο λογισμικό που επιτίθεται σε λογιστικό λογισμικό. Έτσι, με τη βοήθεια ενός παρόμοιου TwoBee Trojan που ανακαλύψαμε πριν από περίπου ένα χρόνο, οι εισβολείς κατάφεραν να κλέψουν περισσότερα από 200 εκατομμύρια ρούβλια από ρωσικούς οργανισμούς», θυμάται ο Σεργκέι Γιουνακόφσκι, ειδικός κατά των ιών στο Kaspersky Lab. «Ωστόσο, ο Mezzo είναι διαφορετικός από τον «αδελφό» του. Αφενός, χρησιμοποιεί έναν απλούστερο αλγόριθμο για την αναζήτηση και τον έλεγχο αρχείων που ενδιαφέρουν. Αλλά είναι πιθανό ότι δεν περιορίζεται μόνο στα λογιστικά συστήματα. Και αυτό είναι πολύ στο πνεύμα των σύγχρονων συγγραφέων ιών, οι οποίοι εφαρμόζουν όλο και περισσότερο πολλές ενότητες και διάφορες λειτουργίες σε ένα μόνο κακόβουλο λογισμικό.»

Μπορείτε να μάθετε περισσότερα για τις δυνατότητες του Mezzo Trojan από την αναλυτική αναφορά της Kaspersky Lab:

Το κακόβουλο λογισμικό που επιτίθεται σε λογιστικό λογισμικό δεν είναι ασυνήθιστο. Αρκεί να θυμηθούμε ότι πριν από περίπου ένα χρόνο, αναλυτές της Kaspersky Lab ανέφεραν την κακόβουλη εκστρατεία TwoBee, κατά την οποία οι εγκληματίες κατάφεραν να κλέψουν περισσότερα από 200.000.000 ρούβλια επεξεργάζοντας απλώς αρχεία κειμένου εντολών πληρωμής.

Τώρα οι ερευνητές της Kaspersky Lab αναφέρουν μια νέα, παρόμοια απειλή που ονομάζεται Mezzo. Σε αντίθεση με το κακόβουλο λογισμικό TwoBee, το οποίο αντικατέστησε λεπτομέρειες σε αρχεία ανταλλαγής μεταξύ λογιστικών και τραπεζικών συστημάτων, η Mezzo μέχρι στιγμής στέλνει απλώς τις πληροφορίες που συλλέγονται στο μολυσμένο σύστημα στον διακομιστή των εισβολέων. Οι ερευνητές πιστεύουν ότι με αυτόν τον τρόπο οι προγραμματιστές κακόβουλου λογισμικού μπορούν να προετοιμαστούν για μια μελλοντική καμπάνια, αλλά επί του παρόντος βρίσκονται στο στάδιο της συλλογής πληροφοριών σχετικά με τους στόχους.

Μέχρι στιγμής, ο αριθμός των θυμάτων του Mezzo είναι μόνο λίγα και οι περισσότερες μολύνσεις καταγράφηκαν στη Ρωσία.

Οι ερευνητές γράφουν ότι το κακόβουλο λογισμικό δημιουργείται χρησιμοποιώντας προγράμματα λήψης τρίτων. Έχοντας διεισδύσει στο σύστημα, ο Trojan εκχωρεί ένα μοναδικό αναγνωριστικό στο μολυσμένο μηχάνημα, βάσει του οποίου δημιουργείται ένας φάκελος στον διακομιστή των εισβολέων για να αποθηκεύσει όλα τα αρχεία που βρίσκονται στο θύμα. Το κακόβουλο λογισμικό ενδιαφέρεται για την «ηλικία» των αρχείων (όχι μεγαλύτερη από μια εβδομάδα) και την παρουσία της γραμμής 1CClientBankExchange στην αρχή.

Όπως αναφέρθηκε παραπάνω, το κύριο ενδιαφέρον για το Mezzo είναι αρχεία κειμένου δημοφιλούς λογιστικού λογισμικού που δημιουργήθηκαν πριν από λιγότερο από δύο λεπτά. Η λειτουργικότητα του Trojan προϋποθέτει ότι μετά τον εντοπισμό τέτοιων εγγράφων, περιμένει να δει αν θα ανοίξει ένα παράθυρο διαλόγου για την ανταλλαγή πληροφοριών μεταξύ του λογιστικού συστήματος και της τράπεζας. Εάν συμβεί αυτό, το Mezzo μπορεί να αλλάξει τα στοιχεία του λογαριασμού στο αρχείο αμέσως τη στιγμή της μεταφοράς δεδομένων. Διαφορετικά (εάν το παράθυρο διαλόγου δεν ανοίξει μετά από πέντε λεπτά), το Mezzo αντικαθιστά ολόκληρο το αρχείο με ένα ψεύτικο.

Αναμονή για παράθυρο διαλόγου

Επίσης, μια ανάλυση του κώδικα Mezzo έδειξε ότι το κακόβουλο λογισμικό μπορεί να σχετίζεται με έναν άλλο γνωστό Trojan που κυνηγά κρυπτονομίσματα, . Οι ερευνητές ανακάλυψαν ότι οι πηγαίοι κώδικες του Mezzo και του κακόβουλου λογισμικού AlinaBot που φόρτωσαν το CryptoShuffler στο σύστημα είναι σχεδόν πανομοιότυποι. Προφανώς, τα ίδια άτομα βρίσκονται πίσω από την ανάπτυξη και των δύο απειλών, πράγμα που σημαίνει ότι ενδιαφέρονται όχι μόνο για το λογιστικό λογισμικό, αλλά και για τα πορτοφόλια κρυπτονομισμάτων των χρηστών.

«Δεν είναι η πρώτη φορά που αντιμετωπίζουμε κακόβουλο λογισμικό που επιτίθεται σε λογιστικό λογισμικό. Έτσι, με τη βοήθεια ενός παρόμοιου TwoBee Trojan που ανακαλύψαμε πριν από περίπου ένα χρόνο, οι εισβολείς κατάφεραν να κλέψουν περισσότερα από 200 εκατομμύρια ρούβλια από ρωσικούς οργανισμούς», θυμάται ο Σεργκέι Γιουνακόφσκι, ειδικός κατά των ιών στο Kaspersky Lab. «Ωστόσο, ο Mezzo είναι διαφορετικός από τον «αδελφό» του. Αφενός, χρησιμοποιεί έναν απλούστερο αλγόριθμο για την αναζήτηση και τον έλεγχο αρχείων που ενδιαφέρουν. Αλλά είναι πιθανό ότι δεν περιορίζεται μόνο στα λογιστικά συστήματα. Και αυτό είναι πολύ στο πνεύμα των σύγχρονων συγγραφέων ιών, οι οποίοι εφαρμόζουν όλο και περισσότερο πολλές ενότητες και διάφορες λειτουργίες σε ένα μόνο κακόβουλο λογισμικό.»

Η Kaspersky Lab βρήκε ένα νέο Trojan που κυνηγάει πραγματικά και κρυπτονομίσματα

Οι ειδικοί της Kaspersky Lab ανακάλυψαν μια νέα οικονομική απειλή - το Mezzo Trojan, το οποίο είναι ικανό να αντικαταστήσει λεπτομέρειες σε αρχεία που ανταλλάσσονται μεταξύ λογιστικών και τραπεζικών συστημάτων.

Οι ειδικοί της Kaspersky Lab ανακάλυψαν μια νέα οικονομική απειλή - το Mezzo Trojan, το οποίο είναι ικανό να αντικαταστήσει λεπτομέρειες σε αρχεία που ανταλλάσσονται μεταξύ λογιστικών και τραπεζικών συστημάτων. Προς το παρόν, το κακόβουλο λογισμικό απλώς στέλνει πληροφορίες που συλλέγονται από τον μολυσμένο υπολογιστή στον διακομιστή στους εισβολείς και, σύμφωνα με τους αναλυτές, αυτό μπορεί να υποδηλώνει ότι οι δημιουργοί του Trojan προετοιμάζονται για μια μελλοντική καμπάνια. Ο αριθμός των θυμάτων του Mezzo είναι ακόμη λίγα, με την πλειονότητα των μολύνσεων να καταγράφονται στη Ρωσία.

Το Mezzo διανέμεται χρησιμοποιώντας προγράμματα λήψης τρίτων. Αφού φτάσει στη συσκευή, το Trojan δημιουργεί ένα μοναδικό αναγνωριστικό για τον μολυσμένο υπολογιστή με βάση αυτό, δημιουργείται ένας φάκελος στον διακομιστή των εισβολέων για την αποθήκευση όλων των αρχείων που βρίσκονται στο θύμα. Κάθε ένας από αυτούς τους φακέλους προστατεύεται με κωδικό πρόσβασης.

Το κύριο ενδιαφέρον του Mezzo είναι τα αρχεία κειμένου από δημοφιλές λογιστικό λογισμικό που δημιουργήθηκαν πριν από λιγότερο από δύο λεπτά. Η λειτουργικότητα του Trojan προϋποθέτει ότι μετά τον εντοπισμό τέτοιων εγγράφων, περιμένει να δει αν θα ανοίξει ένα παράθυρο διαλόγου για την ανταλλαγή πληροφοριών μεταξύ του λογιστικού συστήματος και της τράπεζας. Εάν συμβεί αυτό, το κακόβουλο λογισμικό μπορεί να αντικαταστήσει τα στοιχεία λογαριασμού στο αρχείο αμέσως τη στιγμή της μεταφοράς δεδομένων. Διαφορετικά (εάν το παράθυρο διαλόγου δεν ανοίξει ποτέ), το Mezzo αντικαθιστά ολόκληρο το αρχείο με ένα ψεύτικο.

Επιπλέον, η ανάλυση του κώδικα Mezzo έδειξε ότι το κακόβουλο λογισμικό μπορεί να σχετίζεται με έναν άλλο εντυπωσιακό Trojan που κυνηγά κρυπτονομίσματα, τον CryptoShuffler. Οι ειδικοί της Kaspersky Lab διαπίστωσαν ότι ο κώδικας του Mezzo και του προγράμματος AlinaBot που κατεβάζει το CryptoShuffler είναι πανομοιότυποι σχεδόν με την τελευταία γραμμή. Προφανώς, οι ίδιοι συντάκτες ιών βρίσκονται πίσω από και τα δύο κακόβουλα προγράμματα, πράγμα που σημαίνει ότι το ενδιαφέρον τους μπορεί επίσης να επηρεάσει τα κρυπτογραφικά πορτοφόλια των χρηστών.

«Δεν είναι η πρώτη φορά που αντιμετωπίζουμε κακόβουλο λογισμικό που επιτίθεται σε λογιστικό λογισμικό. Έτσι, με τη βοήθεια ενός παρόμοιου TwoBee Trojan που ανακαλύψαμε πριν από περίπου ένα χρόνο, οι εισβολείς κατάφεραν να κλέψουν περισσότερα από 200 εκατομμύρια ρούβλια από ρωσικούς οργανισμούς», θυμάται ο Σεργκέι Γιουνακόφσκι, ειδικός κατά των ιών στο Kaspersky Lab. «Ωστόσο, ο Mezzo είναι διαφορετικός από τον «αδελφό» του. Αφενός, χρησιμοποιεί έναν απλούστερο αλγόριθμο για την αναζήτηση και τον έλεγχο αρχείων που ενδιαφέρουν. Αλλά είναι πιθανό ότι δεν περιορίζεται μόνο στα λογιστικά συστήματα. Και αυτό είναι πολύ στο πνεύμα των σύγχρονων συγγραφέων ιών, οι οποίοι εφαρμόζουν όλο και περισσότερο πολλές ενότητες και διάφορες λειτουργίες σε ένα μόνο κακόβουλο λογισμικό.»