Ce n'est pas la première fois que les analystes de Kaspersky Lab sont confrontés à des attaques contre des programmes de comptabilité : par exemple, il y a environ un an, nous avons rencontré le malware Trojan.Win32.TwoBee. En général, l'attaque contre le système comptable se réduisait à la substitution de détails dans les données téléchargées depuis la base de données des systèmes bancaires. En conséquence, des sommes d’argent vont sur les comptes d’autres personnes à l’insu du propriétaire. Au début de sa « carrière », le cheval de Troie TwoBee recevait des données de l'extérieur pour remplacer les détails, puis les « emportait » avec lui, n'envoyant au serveur que de courts messages contenant des informations sur les résultats de son travail.

Quant au cheval de Troie Mezzo, que nous souhaitons examiner, il envoie simplement des fichiers texte au serveur sans effectuer aucune manipulation avec eux. Toutefois, cela ne signifie pas qu'il n'y a aucune menace. Au contraire, cela peut indiquer que les auteurs du malware se préparent à future entreprise et sont actuellement au stade de la collecte d'informations sur les objectifs.

Examinons de plus près certaines des caractéristiques de ce cheval de Troie : pour ce faire, nous examinerons deux modifications de Mezzo : l'une est conçue exclusivement pour collecter des informations sur les fichiers comptables existants, tandis que la seconde est capable de les remplacer.

Une caractéristique des deux est la création d’un mutex facilement reconnaissable au départ :

Module de collecte d'informations

Une fois que Mezzo commence à fonctionner, il crée un identifiant unique pour l'ordinateur infecté :

Cet identifiant est utilisé comme nom du dossier dans lequel les informations sur les fichiers trouvés seront stockées :

Le contenu des archives est le suivant :

L'archive elle-même est protégée par un mot de passe (l'identifiant préalablement créé, qui est également le nom de l'archive, est utilisé à ce titre). Contrairement à TwoBee, Mezzo utilise un algorithme plus simple pour rechercher et analyser les fichiers. Par exemple, TwoBee effectuait la substitution de données uniquement s'il existait un certain montant minimal transactions:

Vérification du montant minimum (500 000 ₽) dans TwoBee

De plus, TwoBee a collecté des données sur les montants transférés.

Mezzo vérifie simplement « l’âge » du fichier (ne doit pas dater de plus d’une semaine) et la présence de la ligne 1CClientBankExchangeà son début :

Une fois la recherche terminée, les données sont regroupées dans une archive avec un mot de passe et envoyées au serveur.

Envoi de données

Structure d'une requête et d'une réponse du serveur Mezzo C&C

Module de remplacement

Voyons maintenant comment fonctionne le module Mezzo, dont la tâche est de remplacer les fichiers du programme comptable.

Le cheval de Troie crée trois threads d'exécution. D'abord ( trash_thread dans la capture d'écran ci-dessous) est chargé de contrecarrer les logiciels de sécurité - le cheval de Troie alloue d'énormes régions de mémoire en boucle et les remplit de données arbitraires : dans les « bacs à sable » de certaines solutions de sécurité, le traitement de l'allocation de mémoire et le contrôle de ses fuites diffèrent des mécanismes des systèmes d’exploitation « réels » et de telles demandes peuvent perturber leur travail. La seconde enregistre l’ordinateur « fraîchement infecté » sur le serveur de commande et de contrôle. Le troisième est nécessaire pour interroger le serveur C&C et transmettre des informations sur le système infecté.

Début de la procédure principale Mezzo

Technologie mise en œuvre dans poubelle _fil

Mezzo crée un identifiant unique et l'envoie au serveur. Dans le cas où une commande avec le code 0x46 est reçue du serveur ( F premier ) , des informations sur le système infecté sont transmises. Bien évidemment, cette commande est obtenue lors du premier accès à un tel identifiant.

Procédure get_tasks supprimera le contenu du dossier %TEMP% lors de la réception du code 0x34 ( 4 ).

Après cela, le cheval de Troie commencera à rechercher dans chacune des partitions logiques du système de fichiers les fichiers répondant aux critères suivants :

• Créé il y a moins de deux minutes ;
• Au début du fichier se trouve la ligne 1CClientBankExchange ;
• Extension - .txt.

Le fichier résultant est copié à l'adresse « %TEMP%\ .txt" et est transmis à un serveur distant, à partir duquel le fichier à remplacer sera reçu. Ce fichier sera enregistré sous "%TEMP%\ .SMS". Le programme attend ensuite que l'utilisateur invoque certaines boîtes de dialogue du programme.

Boîte de dialogue Rechercher

Il est nécessaire de remplacer le fichier immédiatement au moment du transfert des données du système comptable vers la banque. L'attente dure cinq minutes, et si la fenêtre requise n'est pas ouverte, le cheval de Troie remplacera simplement le fichier par un faux, après avoir d'abord essayé d'arrêter le processus. 1cv8c.exe en utilisant SuspendThread. Une fois la substitution terminée, le cheval de Troie supprimera le contenu du dossier NOUVEAU avec le fichier reçu du serveur de commande et de contrôle.

Traces de CryptoShuffler

Cependant, l'enquête ne s'est pas arrêtée là. Il y a quelque temps, nos analystes et les logiciels malveillants qui l'ont téléchargé dans le système. Il s'est avéré que c'était AlinaBot (à ne pas confondre avec AlinaPOS), ainsi nommé en raison du titre affiché dans la fenêtre d'authentification du serveur C&C :

À bien des égards, ce téléchargeur commun (nous examinerons ses fonctionnalités ensuite) est lié à Mezzo.

Passons d’abord en revue les connexions « faibles » :

Parlons maintenant des preuves « solides ». Le premier est un moyen de générer un identifiant unique. Le code restauré de Mezzo, AlinaBot et de ses modules correspond jusqu'à la dernière ligne :

La deuxième preuve est le fait que les modules AlinaBot stockent les données volées de manière similaire (sauf qu'un identifiant n'est pas toujours utilisé comme mot de passe) :

Structure du répertoire de travail du module AlinaBot

Même un examen superficiel du code révèle le style de l'auteur de Mezzo - copiant avec diligence un grand nombre de fragments de code.

Fonctions d'AlinaBot

Il y a un total de six commandes du serveur (et « 0 » indiquant aucune commande), qu'AlinaBot reçoit en réponse à la demande d'initialisation sous forme de chaîne de caractères :

Il est important que les commandes soient traitées « deux à la fois » - dans ce cas, il y aura deux cycles de vérification des valeurs d'entrée. En conséquence, les unités situées à la position paire dans la ligne et à la position impaire auront des objectifs différents. Par exemple, la commande « 2 » à une position impaire télécharge un fichier vers une adresse fixe, tandis qu'à une position paire, elle reçoit un lien de téléchargement.

Équipe F (pair) désigne une demande de téléchargement d'informations système et comprend les champs suivants :

• Identifiant unique ;
• Version du système d'exploitation ;
• Nom d'utilisateur;
• Nom de l'ordinateur;
• Adresse IP de l'ordinateur.

Équipe 1 (impair) télécharge un fichier à l'adresse du formulaire /plugins/downloaded/load_file.exe et le lance :

Équipe 1 (pair) redémarre le corps principal d'AlinaBot.

Équipe 2 (impair) télécharge également des fichiers depuis le serveur C&C comme la commande 1, mais sur une autre ligne /plugins/downloaded/load_file_gl.exe, et son serveur n'ont jamais montré d'activité pendant l'étude.

2 (pair) reçoit du serveur l'adresse à partir de laquelle le fichier doit être téléchargé, puis le télécharge et l'exécute.

Généralement, cette commande était utilisée pour télécharger des logiciels malveillants de la famille Trojan-Banker.Win32.CryptoShuffler.

Équipe 3 (pair) termine l'exécution de l'hôte de l'application console.

Charge utile

Nous avons pu obtenir les fichiers téléchargés ; ils peuvent être divisés en deux types. Le premier « détourne » les portefeuilles de crypto-monnaie et les mots de passe des navigateurs. Le vol de portefeuilles s'effectue simplement en recherchant dans le système infecté des fichiers nommés wallet.dat. La perte de mots de passe n'affecte que les utilisateurs de Chrome et Opera ; les deux navigateurs stockent les données de compte de la même manière - sous la forme de bases de données SQLLite à une adresse telle que " C:\Utilisateurs\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\Données utilisateur\Default". Le plugin ouvre ces fichiers à l'aide de la bibliothèque SQLLite et tente de décrypter les données à l'aide d'un « mot de passe vide », au cas où l'utilisateur n'aurait pas spécifié de mot de passe pour l'authentification. Le malware envoie les données reçues au serveur dans une archive ZIP avec un mot de passe 1 q 2w 3e 4r .

Code récupéré pour extraire les données de mot de passe de Chrome

Les fichiers sont « stockés » de la même manière que Mezzo.

Une dernière chose remarquable sur ce module : l'auteur s'est éloigné de l'utilisation de curl et a emprunté le code d'un certain Anasazi : ligne caractéristique CRYPTE DE GUERRE présente dans les deux cas. De plus, nous avons découvert le code source d'Anasazi sur Pastebin.

Comparaison du code restauré du module AlinaBOT et du code source Anasazi sur Pastebin

Le deuxième fichier téléchargé a la capacité de contrôler à distance l’ordinateur infecté. Ce module en lui-même ne présente pas d'intérêt particulier, étant une porte dérobée assez ordinaire qui exécute, par exemple, les commandes suivantes :

• 0x403 : Lancer le gestionnaire de tâches
• 0x406 : Terminer le processus Chrome
• 0x40F : lancer la ligne de commande
• 0x413 : met en mémoire tampon certaines données et les envoie à la fenêtre spécifiée

MD5

Module de collecte d'informations :
Module de remplacement : 1083439FAE49A745F007705281952CD9

AlinaBot

E2E7927C279C3740EA9821595FA2AA23

Les experts de Kaspersky Lab ont découvert une nouvelle menace financière : le malware Mezzo, capable de remplacer les détails des fichiers échangés entre les systèmes comptables et bancaires. Pour le moment, le malware envoie simplement aux attaquants les informations collectées sur l'ordinateur infecté vers le serveur, ce qui, selon les analystes, pourrait indiquer que les créateurs du cheval de Troie se préparent pour une future campagne. Le nombre de victimes de Mezzo est encore faible, la majorité des infections étant enregistrées en Russie.

Mezzo est distribué à l'aide de téléchargeurs tiers. Après avoir atteint l’appareil, le cheval de Troie crée un identifiant unique pour l’ordinateur infecté ; sur cette base, un dossier est créé sur le serveur de l’attaquant pour stocker tous les fichiers trouvés sur la victime. Chacun de ces dossiers est protégé par mot de passe.

Le principal intérêt de Mezzo réside dans les fichiers texte provenant d'un logiciel de comptabilité populaire créé il y a moins de deux minutes. La fonctionnalité du cheval de Troie suppose qu'après avoir détecté de tels documents, il attend de voir si une boîte de dialogue s'ouvrira pour l'échange d'informations entre le système comptable et la banque. Si cela se produit, le logiciel malveillant peut remplacer les détails du compte dans le fichier immédiatement au moment du transfert de données. Sinon (si la boîte de dialogue ne s'ouvre jamais), Mezzo remplace l'intégralité du fichier par un faux.

En outre, l'analyse du code Mezzo a montré que le malware pourrait être lié à un autre cheval de Troie sensationnel qui chasse les crypto-monnaies, CryptoShuffler. Les experts de Kaspersky Lab ont constaté que le code de Mezzo et celui du programme AlinaBot qui télécharge CryptoShuffler sont identiques presque jusqu'à la dernière ligne. Apparemment, les mêmes auteurs de virus sont à l’origine des deux logiciels malveillants, ce qui signifie que leur intérêt peut également affecter les portefeuilles cryptographiques des utilisateurs.

« Ce n’est pas la première fois que nous rencontrons des logiciels malveillants attaquant des logiciels de comptabilité. Ainsi, grâce à un cheval de Troie similaire TwoBee que nous avons découvert il y a environ un an, les attaquants ont réussi à voler plus de 200 millions de roubles à des organisations russes », se souvient Sergueï Yunakovsky, expert en antivirus chez Kaspersky Lab. « Cependant, Mezzo est différent de son « frère ». D'une part, il utilise un algorithme plus simple pour rechercher et vérifier les fichiers d'intérêt. Mais il est probable que cela ne se limite pas aux seuls systèmes comptables. Et cela est tout à fait dans l’esprit des auteurs de virus modernes, qui implémentent de plus en plus de nombreux modules et diverses fonctions au sein d’un seul malware.

Vous pouvez en savoir plus sur les capacités du cheval de Troie Mezzo dans le rapport analytique de Kaspersky Lab :

Les logiciels malveillants attaquant les logiciels de comptabilité ne sont pas rares. Il suffit de rappeler qu'il y a environ un an, les analystes de Kaspersky Lab ont signalé la campagne malveillante TwoBee, au cours de laquelle les criminels ont réussi à voler plus de 200 000 000 de roubles en modifiant simplement les fichiers texte des ordres de paiement.

Les chercheurs de Kaspersky Lab signalent désormais une nouvelle menace similaire appelée Mezzo. Contrairement au malware TwoBee, qui a remplacé les détails dans les fichiers d’échange entre les systèmes comptables et bancaires, Mezzo envoie jusqu’à présent simplement les informations collectées dans le système infecté au serveur des attaquants. Les chercheurs pensent que les développeurs de logiciels malveillants peuvent ainsi se préparer à une future campagne, mais ils en sont actuellement au stade de la collecte d'informations sur les cibles.

Jusqu'à présent, le nombre de victimes de Mezzo n'est que de quelques-uns et la plupart des infections ont été enregistrées en Russie.

Les chercheurs écrivent que le malware est créé à l'aide de programmes de téléchargement tiers. Après avoir pénétré le système, le cheval de Troie attribue un identifiant unique à la machine infectée, sur la base duquel un dossier est créé sur le serveur des attaquants pour stocker tous les fichiers trouvés sur la victime. Le malware s'intéresse à « l'âge » des fichiers (pas plus d'une semaine) et à la présence de la ligne 1CClientBankExchange au début.

Comme mentionné ci-dessus, le principal intérêt de Mezzo réside dans les fichiers texte d'un logiciel de comptabilité populaire créés il y a moins de deux minutes. La fonctionnalité du cheval de Troie suppose qu'après avoir détecté de tels documents, il attend de voir si une boîte de dialogue s'ouvrira pour l'échange d'informations entre le système comptable et la banque. Si cela se produit, Mezzo peut modifier les détails du compte enregistrés immédiatement au moment du transfert de données. Sinon (si la boîte de dialogue ne s'ouvre pas au bout de cinq minutes), Mezzo remplace l'intégralité du fichier par un faux.

En attente de la boîte de dialogue

En outre, une analyse du code Mezzo a montré que le malware pourrait être lié à un autre cheval de Troie bien connu qui recherche les crypto-monnaies, . Les chercheurs ont découvert que les codes sources de Mezzo et du malware AlinaBot qui ont chargé CryptoShuffler dans le système sont presque identiques. Apparemment, les mêmes personnes sont à l’origine du développement des deux menaces, ce qui signifie qu’elles s’intéressent non seulement aux logiciels de comptabilité, mais également aux portefeuilles de crypto-monnaie des utilisateurs.

« Ce n’est pas la première fois que nous rencontrons des logiciels malveillants attaquant des logiciels de comptabilité. Ainsi, grâce à un cheval de Troie similaire TwoBee que nous avons découvert il y a environ un an, les attaquants ont réussi à voler plus de 200 millions de roubles à des organisations russes », se souvient Sergueï Yunakovsky, expert en antivirus chez Kaspersky Lab. « Cependant, Mezzo est différent de son « frère ». D'une part, il utilise un algorithme plus simple pour rechercher et vérifier les fichiers d'intérêt. Mais il est probable que cela ne se limite pas aux seuls systèmes comptables. Et cela est tout à fait dans l’esprit des auteurs de virus modernes, qui implémentent de plus en plus de nombreux modules et diverses fonctions au sein d’un seul malware.

Kaspersky Lab a découvert un nouveau cheval de Troie qui chasse les monnaies réelles et les crypto-monnaies

Les experts de Kaspersky Lab ont découvert une nouvelle menace financière : le cheval de Troie Mezzo, capable de remplacer les détails des fichiers échangés entre les systèmes comptables et bancaires.

Les experts de Kaspersky Lab ont découvert une nouvelle menace financière : le cheval de Troie Mezzo, capable de remplacer les détails des fichiers échangés entre les systèmes comptables et bancaires. Pour le moment, le malware envoie simplement aux attaquants les informations collectées sur l'ordinateur infecté vers le serveur, ce qui, selon les analystes, pourrait indiquer que les créateurs du cheval de Troie se préparent pour une future campagne. Le nombre de victimes de Mezzo est encore faible, la majorité des infections étant enregistrées en Russie.

Mezzo est distribué à l'aide de téléchargeurs tiers. Après avoir atteint l’appareil, le cheval de Troie crée un identifiant unique pour l’ordinateur infecté ; sur cette base, un dossier est créé sur le serveur de l’attaquant pour stocker tous les fichiers trouvés sur la victime. Chacun de ces dossiers est protégé par mot de passe.

Le principal intérêt de Mezzo réside dans les fichiers texte provenant d'un logiciel de comptabilité populaire créé il y a moins de deux minutes. La fonctionnalité du cheval de Troie suppose qu'après avoir détecté de tels documents, il attend de voir si une boîte de dialogue s'ouvrira pour l'échange d'informations entre le système comptable et la banque. Si cela se produit, le logiciel malveillant peut remplacer les détails du compte dans le fichier immédiatement au moment du transfert de données. Sinon (si la boîte de dialogue ne s'ouvre jamais), Mezzo remplace l'intégralité du fichier par un faux.

En outre, l'analyse du code Mezzo a montré que le malware pourrait être lié à un autre cheval de Troie sensationnel qui chasse les crypto-monnaies, CryptoShuffler. Les experts de Kaspersky Lab ont constaté que le code de Mezzo et celui du programme AlinaBot qui télécharge CryptoShuffler sont identiques presque jusqu'à la dernière ligne. Apparemment, les mêmes auteurs de virus sont à l’origine des deux logiciels malveillants, ce qui signifie que leur intérêt peut également affecter les portefeuilles cryptographiques des utilisateurs.

« Ce n’est pas la première fois que nous rencontrons des logiciels malveillants attaquant des logiciels de comptabilité. Ainsi, grâce à un cheval de Troie similaire TwoBee que nous avons découvert il y a environ un an, les attaquants ont réussi à voler plus de 200 millions de roubles à des organisations russes », se souvient Sergueï Yunakovsky, expert en antivirus chez Kaspersky Lab. « Cependant, Mezzo est différent de son « frère ». D'une part, il utilise un algorithme plus simple pour rechercher et vérifier les fichiers d'intérêt. Mais il est probable que cela ne se limite pas aux seuls systèmes comptables. Et cela est tout à fait dans l’esprit des auteurs de virus modernes, qui implémentent de plus en plus de nombreux modules et diverses fonctions au sein d’un seul malware.