Ettevaatust: uus troojalane sihib pärisraha ja krüptovaluutat. Avastati Mezzo troojalane, mis ründab raamatupidamistarkvara ja tunneb huvi krüptovaluuta vastu. Kaspersky Labi eksperdid avastasid uue finantsohu – Mezzo troojalase, mis on võimeline võltsima.

Rünnakutega raamatupidamisprogrammid See pole esimene kord, kui Kaspersky Labi analüütikud selle probleemiga kokku puutuvad – näiteks umbes aasta tagasi puutusime kokku pahavaraga Trojan.Win32.TwoBee. Üldiselt taandus rünnak raamatupidamissüsteemile pangasüsteemide andmebaasist alla laaditud andmetes detailide asendamisele. Selle tulemusena lähevad rahasummad omaniku teadmata võõrale kontole. Oma "karjääri" alguses sai TwoBee troojalane andmeid väljastpoolt detailide asendamiseks ja hiljem "kandis" need endaga kaasa, saates serverisse ainult lühisõnumeid oma töö tulemuste kohta.

Mis puudutab Trooja Mezzo, mida me tahame vaadata, siis see saadab lihtsalt tekstifailid serverisse ilma nendega mingeid manipuleerimisi tegemata. See aga ei tähenda, et ohtu poleks – vastupidi, see võib viidata sellele, et pahavara autorid valmistuvad tulevane ettevõte ja on praegu eesmärkide kohta teabe kogumise etapis.

Vaatame lähemalt mõningaid selle trooja funktsioone. Selleks vaatleme kahte Mezzo modifikatsiooni – üks on mõeldud ainult olemasolevate raamatupidamisfailide kohta teabe kogumiseks, teine ​​aga on võimeline neid asendama.

Mõlema iseloomulik tunnus on alguses kergesti äratuntava mutexi loomine:

Teabe kogumise moodul

Kui Mezzo tööle hakkab, loob see nakatunud arvutile kordumatu identifikaatori:

Seda identifikaatorit kasutatakse kausta nimena, kuhu salvestatakse teave leitud failide kohta:

Arhiivi sisu on järgmine:

Arhiiv ise on kaitstud parooliga (selles mahus kasutatakse eelnevalt loodud identifikaatorit, mis on ka arhiivi nimi). Erinevalt TwoBeest kasutab Mezzo failide otsimiseks ja skannimiseks lihtsamat algoritmi. Näiteks TwoBee viis andmete asendamise läbi ainult siis, kui see oli kindel minimaalne summa tehingud:

Miinimumsumma (500 000 ₽) kontrollimine teenuses TwoBee

Lisaks kogus TwoBee andmeid ülekantud summade kohta.

Mezzo lihtsalt kontrollib faili "vanust" (ei tohi olla vanem kui nädal) ja rea ​​olemasolu 1CClientBankExchange selle alguses:

Otsingu lõppedes pakitakse andmed koos parooliga arhiivi ja saadetakse serverisse.

Andmete saatmine

Mezzo C&C serveri päringu ja vastuse struktuur

Asendusmoodul

Nüüd mõtleme välja, kuidas töötab Mezzo moodul, mille ülesandeks on raamatupidamisprogrammi failide asendamine.

Trooja loob kolm täitmise lõime. Esiteks ( trash_thread alloleval ekraanipildil) vastutab turvatarkvara vastu võitlemise eest - trooja eraldab ahelas tohutuid mälupiirkondi ja täidab need suvaliste andmetega: mõne turvalahenduse "liivakastides" on mälu eraldamise töötlemine ja selle lekete kontroll erinev. "päris" operatsioonisüsteemide mehhanismidest ja sellised taotlused võivad nende tööd rikkuda. Teine registreerib "värskelt nakatunud" arvuti käsu- ja juhtimisserveris. Kolmas on vajalik C&C serveri küsitluseks ja nakatunud süsteemi kohta teabe edastamiseks.

Mezzo põhiprotseduuri algus

aastal juurutatud tehnoloogia prügikast _lõng

Mezzo loob kordumatu ID ja saadab selle serverisse. Juhul, kui serverilt võetakse vastu käsk koodiga 0x46 ( F esmalt ) , edastatakse teave nakatunud süsteemi kohta. Ilmselgelt saadakse see käsk, kui sellisele identifikaatorile esimest korda juurde pääsete.

Menetlus hanki_ülesanded kustutab koodi 0x34 saamisel kausta %TEMP% sisu 4 ).

Pärast seda hakkab troojalane igast failisüsteemi loogilisest sektsioonist otsima faile, mis vastavad järgmistele kriteeriumidele:

  • Loodud vähem kui kaks minutit tagasi;
  • Faili alguses on rida 1CClientBankExchange;
  • Laiend – .txt.

Saadud fail kopeeritakse aadressile “%TEMP%\ .txt" ja edastatakse kaugserverisse, kust võetakse vastu asendusfail. See fail salvestatakse kui "%TEMP%\ .txt". Seejärel ootab programm, kuni kasutaja avab teatud programmi dialoogiboksi.

Otsi dialoogiboks

See on vajalik faili koheseks asendamiseks andmete raamatupidamissüsteemist panka edastamise hetkel. Ootus kestab viis minutit ja kui vajalik aken ei ole avatud, asendab trooja lihtsalt faili võltsitud failiga pärast esmakordset protsessi peatamist. 1cv8c.exe kasutades Suspend Thread. Kui asendamine on lõpule viidud, kustutab trooja kausta sisu UUS käsu- ja juhtimisserverist saadud failiga.

CryptoShuffleri jäljed

Sellega uurimine aga ei lõppenud. Mõni aeg tagasi meie analüütikud ja pahavara, mis selle süsteemi laadis. Selgus, et see oli AlinaBot (mitte segi ajada AlinaPOS-iga), mida nimetatakse C&C serveri autentimise akna pealkirja tõttu:

See tavaline allalaadija (vaatame selle funktsioone järgmisena) on paljuski seotud Mezzoga.

Kõigepealt vaatame "nõrkasid" ühendusi:

Nüüd "tugevatest" tõenditest. Esimene on kordumatu identifikaatori genereerimise viis. Mezzo, AlinaBoti ja selle moodulite taastatud kood sobib kuni viimase reani:

Teiseks tõendiks on asjaolu, et AlinaBoti moodulid salvestavad varastatud andmeid sarnasel viisil (välja arvatud see, et paroolina ei kasutata alati identifikaatorit):

AlinaBoti mooduli töökataloogi struktuur

Isegi koodi pealiskaudsel uurimisel ilmneb Mezzo autori stiil – suure hulga koodilõikude püüdlik kopeerimine.

AlinaBoti funktsioonid

Serverilt on kokku kuus käsku (ja "0", mis näitab, et käsku pole), mille AlinaBot saab vastusena lähtestamistaotlusele märgijadana:

On oluline, et käske töödeldaks "kaks korraga" - sel juhul toimub sisendväärtuste kontrollimise kaks tsüklit. Sellest tulenevalt erinevad rea paaris ja paaritu kohas asuvad üksused oma eesmärgi poolest. Näiteks käsk "2" paaris kohas laadib faili üles fikseeritud aadressile, samas kui paarisasendis saab allalaadimislingi.

Meeskond F (paaris) tähistab taotlust süsteemiteabe allalaadimiseks ja sisaldab järgmisi välju:

  • unikaalne identifikaator;
  • operatsioonisüsteemi versioon;
  • Kasutajanimi;
  • arvuti nimi;
  • Arvuti IP-aadress.

Meeskond 1 (paaritu) laadib faili vormi aadressile /plugins/downloaded/load_file.exe ja käivitab selle :

Meeskond 1 (paaris) taaskäivitab AlinaBoti põhiosa.

Meeskond 2 (paaritu) laadib failid alla ka C&C serverist nagu käsk 1, aga teisel real /plugins/downloaded/load_file_gl.exe ja selle server ei näidanud kunagi uuringu ajal aktiivsust.

2 (paaris) saab serverilt aadressi, kust fail tuleb alla laadida, ning seejärel laadib selle alla ja käivitab.

Tavaliselt kasutati seda käsku pahavara allalaadimiseks perekonnast Trojan-Banker.Win32.CryptoShuffler

Meeskond 3 (paaris) lõpetab konsoolirakenduse hosti täitmise.

Kasulik koormus

Meil õnnestus üleslaaditud failid jagada kahte tüüpi. Esimene neist "kaaperdab" krüptoraha rahakotid ja brauseri paroolid. Rahakottide vargus saavutatakse lihtsalt nakatunud süsteemist failide wallet.dat otsimisega. Paroolide kaotamine mõjutab ainult Chrome'i ja Opera kasutajaid, mõlemad brauserid salvestavad kontoandmeid sarnaselt – SQLLite'i andmebaaside kujul aadressil "; C:\Kasutajad\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\User Data\Default". Plugin avab need failid SQLLite'i teegi abil ja proovib andmeid dekrüpteerida "tühja parooli" abil, kui kasutaja pole autentimiseks parooli määranud. Pahavara saadab saadud andmed serverisse ZIP-arhiivis koos parooliga 1 q 2w 3e 4r .


Taastatud kood parooliandmete eraldamiseks Chrome'ist

Faile salvestatakse sarnaselt Mezzole.

Viimane tähelepanuväärne asi selle mooduli juures: autor loobus curli kasutamisest ja laenas teatud Anasazi koodi: iseloomulik joon. WARPCRYPT esinevad mõlemal juhul. Lisaks avastasime pastebinist Anasazi lähtekoodi.

AlinaBOT mooduli taastatud koodi ja Anasazi lähtekoodi võrdlus Pastebinis

Teisel üleslaaditud failil on võimalus nakatunud arvutit kaugjuhtida. See moodul ise ei paku erilist huvi, kuna tegemist on üsna tavalise tagauksega, mis täidab näiteks järgmisi käske:

  • 0x403: käivitage tegumihaldur
  • 0x406: Chrome'i protsessi lõpetamine
  • 0x40F: Käivitage käsurida
  • 0x413: puhverdage teatud andmed ja saatke need määratud aknasse

MD 5

Teabe kogumise moodul:
Asendusmoodul: 1083439FAE49A745F007705281952CD9

AlinaBot












E2E7927C279C3740EA9821595FA2AA23

Kaspersky Labi eksperdid on avastanud uue finantsohu – pahavara Mezzo, mis on võimeline raamatupidamis- ja pangasüsteemide vahel vahetatavates failides detaile asendama. Hetkel saadab pahavara ründajatele lihtsalt nakatunud arvutist serverisse kogutud info ning see võib analüütikute hinnangul viidata sellele, et trooja loojad valmistuvad tulevaseks kampaaniaks. Mezzo ohvrite arv on endiselt vaid mõni üksik, enamik nakatumisi registreeriti Venemaal.

Mezzot levitatakse kolmandate osapoolte allalaadijate abil. Pärast seadmesse jõudmist loob trooja nakatunud arvutile selle põhjal unikaalse identifikaatori, ründajate serverisse luuakse kaust, kuhu salvestada kõik ohvrist leitud failid. Kõik need kaustad on parooliga kaitstud.

Mezzo põhihuvi on vähem kui kaks minutit tagasi loodud populaarsest raamatupidamistarkvarast pärit tekstifailid. Trooja funktsionaalsus eeldab, et pärast selliste dokumentide tuvastamist ootab ta, kas avaneb dialoogiboks infovahetuseks raamatupidamissüsteemi ja panga vahel. Kui see juhtub, võib pahavara asendada failis olevad konto andmed kohe andmete edastamise ajal. Vastasel juhul (kui dialoog ei avane), asendab Mezzo kogu faili võltsitud failiga.

Lisaks näitas Mezzo koodi analüüs, et pahavara võib olla seotud teise kurikuulsa troojalasega, mis jahib krüptorahasid, CryptoShuffleriga. Kaspersky Labi eksperdid leidsid, et Mezzo ja CryptoShuffleri alla laadiva programmi AlinaBot kood on peaaegu viimasel real identsed. Ilmselt on mõlema pahavara taga samad viirusekirjutajad, mis tähendab, et nende huvi võib mõjutada ka kasutajate krüptorahakotte.

"See pole esimene kord, kui me puutume kokku pahavaraga, mis ründab raamatupidamistarkvara. Nii õnnestus ründajatel umbes aasta tagasi avastatud sarnase TwoBee troojalase abil Venemaa organisatsioonidelt varastada üle 200 miljoni rubla,” meenutab Kaspersky Labi viirusetõrjeekspert Sergei Yunakovski. "Kuid Mezzo erineb oma "vennast". Ühest küljest kasutab see huvipakkuvate failide otsimiseks ja kontrollimiseks lihtsamat algoritmi. Kuid on tõenäoline, et see ei piirdu ainult raamatupidamissüsteemidega. Ja see on vägagi tänapäevaste viirusekirjutajate vaimus, kes rakendavad üha enam paljusid mooduleid ja erinevaid funktsioone ühes pahavaras.

Lisateavet Mezzo trooja võimaluste kohta leiate Kaspersky Labi analüütilisest aruandest:

Raamatupidamistarkvara ründav pahavara pole haruldane. Piisab, kui meenutada, et umbes aasta tagasi teatasid Kaspersky Labi analüütikud TwoBee pahatahtlikust kampaaniast, mille käigus suutsid kurjategijad lihtsalt maksekorralduste tekstifaile redigeerides varastada üle 200 000 000 rubla.

Nüüd teatavad Kaspersky Labi teadlased uuest sarnasest ohust nimega Mezzo. Erinevalt TwoBee pahavarast, mis asendas üksikasjad raamatupidamis- ja pangasüsteemide vahelistes vahetusfailides, saadab Mezzo seni nakatunud süsteemis kogutud teabe lihtsalt ründajate serverisse. Teadlased usuvad, et sel viisil saavad pahavara arendajad valmistuda tulevaseks kampaaniaks, kuid on praegu sihtmärkide kohta teabe kogumise etapis.

Seni on Mezzo ohvrite arv vaid mõni üksik ning enamik nakatumisi registreeriti Venemaal.

Teadlased kirjutavad, et pahavara luuakse kolmanda osapoole allalaadimisprogrammide abil. Pärast süsteemi tungimist määrab trooja nakatunud masinale unikaalse identifikaatori, mille põhjal luuakse ründajate serverisse kaust, kuhu salvestatakse kõik ohvri juurest leitud failid. Pahavara huvitab failide “vanus” (mitte vanemad kui nädal) ja rea ​​1CClientBankExchange olemasolu alguses.

Nagu eelpool mainitud, pakuvad Mezzo peamiseks huviks populaarse raamatupidamistarkvara tekstifailid, mis on loodud vähem kui kaks minutit tagasi. Trooja funktsionaalsus eeldab, et pärast selliste dokumentide tuvastamist ootab ta, kas avaneb dialoogiboks infovahetuseks raamatupidamissüsteemi ja panga vahel. Kui see juhtub, võib Mezzo muuta failis olevaid konto üksikasju kohe andmete edastamise ajal. Vastasel juhul (kui dialoogiboksi viie minuti pärast ei avata), asendab Mezzo kogu faili võltsitud failiga.

Dialoogiboksi ootel

Samuti näitas Mezzo koodi analüüs, et pahavara võib olla seotud teise tuntud troojalasega, mis jahib krüptorahasid, . Teadlased avastasid, et Mezzo ja CryptoShuffleri süsteemi laadinud pahavara AlinaBot lähtekoodid on peaaegu identsed. Ilmselt on mõlema ohu arendamise taga samad inimesed, mis tähendab, et nad ei ole huvitatud mitte ainult raamatupidamistarkvarast, vaid ka kasutajate krüptoraha rahakotist.

"See pole esimene kord, kui me kohtame pahavara, mis ründab raamatupidamistarkvara. Nii õnnestus ründajatel umbes aasta tagasi avastatud sarnase TwoBee troojalase abil Venemaa organisatsioonidelt varastada üle 200 miljoni rubla,” meenutab Kaspersky Labi viirusetõrjeekspert Sergei Yunakovski. "Kuid Mezzo erineb oma "vennast". Ühest küljest kasutab see huvipakkuvate failide otsimiseks ja kontrollimiseks lihtsamat algoritmi. Kuid on tõenäoline, et see ei piirdu ainult raamatupidamissüsteemidega. Ja see on vägagi tänapäevaste viirusekirjutajate vaimus, kes rakendavad üha enam paljusid mooduleid ja erinevaid funktsioone ühes pahavaras.

Kaspersky Lab leidis uue trooja, mis jahib päris- ja krüptorahasid

Kaspersky Labi eksperdid avastasid uue finantsohu – Trooja Mezzo, mis on võimeline raamatupidamis- ja pangasüsteemide vahel vahetatavates failides detaile asendama.

Kaspersky Labi eksperdid avastasid uue finantsohu – Trooja Mezzo, mis on võimeline raamatupidamis- ja pangasüsteemide vahel vahetatavates failides detaile asendama. Hetkel saadab pahavara ründajatele lihtsalt nakatunud arvutist serverisse kogutud info ning see võib analüütikute hinnangul viidata sellele, et trooja loojad valmistuvad tulevaseks kampaaniaks. Mezzo ohvrite arv on endiselt vaid mõni üksik, enamik nakatumisi registreeriti Venemaal.

Mezzot levitatakse kolmandate osapoolte allalaadijate abil. Pärast seadmesse jõudmist loob trooja nakatunud arvutile selle põhjal unikaalse identifikaatori, ründajate serverisse luuakse kaust, kuhu salvestada kõik ohvrist leitud failid. Kõik need kaustad on parooliga kaitstud.

Mezzo põhihuvi on vähem kui kaks minutit tagasi loodud populaarsest raamatupidamistarkvarast pärit tekstifailid. Trooja funktsionaalsus eeldab, et pärast selliste dokumentide tuvastamist ootab ta, kas avaneb dialoogiboks infovahetuseks raamatupidamissüsteemi ja panga vahel. Kui see juhtub, võib pahavara asendada failis olevad konto andmed kohe andmete edastamise ajal. Vastasel juhul (kui dialoog ei avane), asendab Mezzo kogu faili võltsitud failiga.

Lisaks näitas Mezzo koodi analüüs, et pahavara võib olla seotud teise sensatsioonilise troojalasega, mis jahib krüptorahasid, CryptoShuffleriga. Kaspersky Labi eksperdid leidsid, et Mezzo ja CryptoShuffleri alla laadiva programmi AlinaBot kood on peaaegu viimasel real identsed. Ilmselt on mõlema pahavara taga samad viirusekirjutajad, mis tähendab, et nende huvi võib mõjutada ka kasutajate krüptorahakotte.

"See pole esimene kord, kui me puutume kokku pahavaraga, mis ründab raamatupidamistarkvara. Nii õnnestus ründajatel umbes aasta tagasi avastatud sarnase TwoBee troojalase abil Venemaa organisatsioonidelt varastada üle 200 miljoni rubla,” meenutab Kaspersky Labi viirusetõrjeekspert Sergei Yunakovski. "Kuid Mezzo erineb oma "vennast". Ühest küljest kasutab see huvipakkuvate failide otsimiseks ja kontrollimiseks lihtsamat algoritmi. Kuid on tõenäoline, et see ei piirdu ainult raamatupidamissüsteemidega. Ja see on vägagi tänapäevaste viirusekirjutajate vaimus, kes rakendavad üha enam paljusid mooduleid ja erinevaid funktsioone ühes pahavaras.



Seotud artiklid