Šī nav pirmā reize, kad Kaspersky Lab analītiķi sastopas ar uzbrukumiem grāmatvedības programmām – piemēram, apmēram pirms gada mēs saskārāmies ar Trojan.Win32.TwoBee ļaunprogrammatūru. Kopumā uzbrukums grāmatvedības sistēmai tika samazināts līdz detaļu aizstāšanai no datubāzes lejupielādētajos datos banku sistēmām. Rezultātā naudas summas bez īpašnieka ziņas nonāk citu cilvēku kontos. Savas “karjeras” sākumā TwoBee Trojas zirgs saņēma datus, lai aizstātu detaļas no ārpuses, un vēlāk tos “nesa” sev līdzi, nosūtot serverim tikai īsziņas ar informāciju par sava darba rezultātiem.

Kas attiecas uz Mezzo Trojas zirgu, kuru mēs vēlamies apskatīt, tas vienkārši nosūta teksta failus uz serveri, neveicot ar tiem nekādas manipulācijas. Taču tas nenozīmē, ka draudu nav – gluži otrādi, tas var liecināt, ka ļaunprogrammatūras autori gatavojas nākotnes uzņēmums un pašlaik tiek vākta informācija par mērķiem.

Sīkāk apskatīsim dažas šī Trojas zirga funkcijas. Lai to izdarītu, apskatīsim divas Mezzo modifikācijas – viena ir paredzēta tikai informācijas apkopošanai par esošajiem grāmatvedības failiem, bet otrā spēj tos aizstāt.

Abu raksturīga iezīme ir viegli atpazīstama mutex izveide sākumā:

Informācijas vākšanas modulis

Kad Mezzo sāk darboties, tas izveido unikālu inficētā datora identifikatoru:

Šis identifikators tiek izmantots kā tās mapes nosaukums, kurā tiks glabāta informācija par atrastajiem failiem:

Arhīva saturs ir šāds:

Pats arhīvs ir aizsargāts ar paroli (šajā kvalitātē tiek izmantots iepriekš izveidotais identifikators, kas ir arī arhīva nosaukums). Atšķirībā no TwoBee, Mezzo izmanto vienkāršāku algoritmu failu meklēšanai un skenēšanai. Piemēram, TwoBee veica datu aizstāšanu tikai tad, ja bija noteikts minimālā summa darījumi:

Pārbauda minimālo summu (500 000 ₽) pakalpojumā TwoBee

Turklāt TwoBee apkopoja datus par pārskaitītajām summām.

Mezzo vienkārši pārbauda faila “vecumu” (nedrīkst būt vecākam par nedēļu) un rindas esamību. 1CClientBankExchange tās sākumā:

Pabeidzot meklēšanu, dati tiek iesaiņoti arhīvā ar paroli un nosūtīti uz serveri.

Datu sūtīšana

Pieprasījuma un atbildes struktūra no Mezzo C&C servera

Aizvietošanas modulis

Tagad izdomāsim, kā darbojas modulis Mezzo, kura uzdevums ir nomainīt grāmatvedības programmas failus.

Trojas zirgs izveido trīs izpildes pavedienus. Pirmais ( trash_thread zemāk esošajā ekrānuzņēmumā) ir atbildīgs par pretdarbību drošības programmatūrai - Trojas zirgs cilpā piešķir milzīgus atmiņas reģionus un aizpilda tos ar patvaļīgiem datiem: dažu drošības risinājumu “smilšu kastēs” atmiņas piešķiršanas apstrāde un tās noplūžu kontrole atšķiras. no “īstu” operētājsistēmu mehānismiem un šādi pieprasījumi var pārkāpt viņu darbu. Otrais reģistrē "svaigi inficēto" datoru komandu un vadības serverī. Trešais ir nepieciešams, lai aptaujātu C&C serveri un pārsūtītu informāciju par inficēto sistēmu.

Galvenās Mezzo procedūras sākums

gadā ieviesta tehnoloģija atkritumi _pavediens

Mezzo izveido unikālu ID un nosūta to serverim. Gadījumā, ja no servera tiek saņemta komanda ar kodu 0x46 ( F pirmkārt ) , tiek pārsūtīta informācija par inficēto sistēmu. Acīmredzot šī komanda tiek iegūta, kad pirmo reizi piekļūstat šādam identifikatoram.

Procedūra get_tasks izdzēsīs mapes %TEMP% saturu, saņemot kodu 0x34 ( 4 ).

Pēc tam Trojas zirgs katrā failu sistēmas loģiskajā nodalījumā sāks meklēt failus, kas atbilst šādiem kritērijiem:

• Izveidots pirms mazāk nekā divām minūtēm;
• Faila sākumā ir rinda 1CClientBankExchange;
• Paplašinājums — .txt.

Iegūtais fails tiek kopēts uz adresi “%TEMP%\ .txt" un tiek pārsūtīts uz attālo serveri, no kura tiks saņemts fails nomaiņai. Šis fails tiks saglabāts kā "%TEMP%\ .txt". Pēc tam programma gaida, līdz lietotājs izsauc noteiktus programmas dialoglodziņus.

Meklēšanas dialoglodziņš

Tas nepieciešams, lai nekavējoties nomainītu failu datu pārsūtīšanas brīdī no grāmatvedības sistēmas uz banku. Gaidīšana ilgst piecas minūtes, un, ja nepieciešamais logs nav atvērts, Trojas zirgs vienkārši aizstās failu ar viltotu, vispirms mēģinot apturēt procesu. 1cv8c.exe izmantojot Suspend Thread. Kad aizstāšana ir pabeigta, Trojas zirgs izdzēsīs mapes saturu JAUNS ar failu, kas saņemts no komandu un vadības servera.

CryptoShuffler pēdas

Tomēr ar to izmeklēšana nebeidzās. Pirms kāda laika mūsu analītiķi un ļaunprātīgā programmatūra, kas to lejupielādēja sistēmā. Izrādījās, ka tā ir AlinaBot (nejaukt ar AlinaPOS), kas nosaukts tā nosaukuma dēļ C&C servera autentifikācijas logā:

Daudzos veidos šis izplatītais lejupielādētājs (mēs tālāk apskatīsim tā funkcijas) ir saistīts ar Mezzo.

Vispirms apskatīsim “vājos” savienojumus:

Tagad par "spēcīgajiem" pierādījumiem. Pirmais ir veids, kā ģenerēt unikālu identifikatoru. Atjaunotais Mezzo, AlinaBot un tā moduļu kods atbilst līdz pēdējai rindai:

Otrs pierādījums ir fakts, ka AlinaBot moduļi uzglabā nozagtos datus līdzīgā veidā (izņemot to, ka identifikators ne vienmēr tiek izmantots kā parole):

AlinaBot moduļa darba direktoriju struktūra

Pat virspusēja koda izpēte atklāj Mezzo autora stilu - cītīgi kopējot lielu skaitu koda fragmentu.

AlinaBot funkcijas

Kopumā no servera ir sešas komandas (un “0”, kas norāda bez komandas), kuras AlinaBot saņem kā rakstzīmju virkni, reaģējot uz inicializācijas pieprasījumu:

Ir svarīgi, lai komandas tiktu apstrādātas "divas reizē" - šajā gadījumā būs divi ievades vērtību pārbaudes cikli. Attiecīgi vienības pāra pozīcijā rindā un nepāra pozīcijā atšķirsies pēc to mērķa. Piemēram, komanda “2” nepāra pozīcijā augšupielādē failu uz fiksētu adresi, savukārt pāra vietā tā saņem lejupielādes saiti.

Komanda F (pāra) apzīmē pieprasījumu lejupielādēt sistēmas informāciju un ietver šādus laukus:

• Unikāls identifikators;
• Operētājsistēmas versija;
• Lietotājvārds;
• datora nosaukums;
• Datora IP adrese.

Komanda 1 (nepāra) augšupielādē failu uz veidlapas adresi /plugins/downloaded/load_file.exe un palaiž to :

Komanda 1 (pāra) restartē AlinaBot galveno korpusu.

Komanda 2 (nepāra) tāpat kā komanda lejupielādē failus no C&C servera 1, tomēr citā līnijā /plugins/downloaded/load_file_gl.exe, un tā serveris pētījuma laikā nekad neuzrādīja darbību.

2 (pāra) saņem no servera adresi, no kuras fails ir jālejupielādē, un pēc tam to lejupielādē un palaiž.

Parasti šī komanda tika izmantota, lai lejupielādētu ļaunprātīgu programmatūru no Trojan-Banker.Win32.CryptoShuffler saimes.

Komanda 3 (pāra) pārtrauc konsoles lietojumprogrammas resursdatora izpildi.

Lietderīgā slodze

Mēs varējām iegūt augšupielādētos failus, tos var iedalīt divos veidos. Pirmais “nolaupa” kriptovalūtu makus un pārlūkprogrammu paroles. Maka zādzība tiek veikta, inficētajā sistēmā vienkārši meklējot failus ar nosaukumu wallet.dat. Paroļu zaudēšana ietekmē tikai Chrome un Opera lietotājus; abas pārlūkprogrammas konta datus glabā līdzīgā veidā — SQLLite datu bāzu veidā tādā adresē kā " C:\Lietotāji\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\User Data\Default". Spraudnis atver šos failus, izmantojot SQLLite bibliotēku, un mēģina atšifrēt datus, izmantojot “tukšu paroli”, ja lietotājs nav norādījis autentifikācijas paroli. Ļaunprātīga programmatūra nosūta saņemtos datus uz serveri ZIP arhīvā ar paroli 1 q 2w 3e 4r.

Atkopts kods paroles datu iegūšanai no Chrome

Faili tiek “glabāti” līdzīgi kā Mezzo.

Pēdējā ievērības cienīga lieta par šo moduli: autors atteicās no curl lietošanas un aizņēmās noteikta Anasazi kodu: raksturīga līnija WARPCRYPT abos gadījumos. Turklāt mēs atklājām Anasazi pirmkodu vietnē pastebin.

AlinaBOT moduļa atjaunotā koda un Anasazi pirmkoda salīdzinājums vietnē Pastebin

Otrajam augšupielādētajam failam ir iespēja attālināti vadīt inficēto datoru. Šis modulis pats par sevi nav īpaši interesants, jo tas ir diezgan parasts aizmugures durvis, kas izpilda, piemēram, šādas komandas:

• 0x403: palaidiet uzdevumu pārvaldnieku
• 0x406: pārtrauciet Chrome procesu
• 0x40F: palaidiet komandrindu
• 0x413: Buferējiet noteiktus datus un nosūtiet tos uz norādīto logu

MD 5

Informācijas vākšanas modulis:
Nomaiņas modulis: 1083439FAE49A745F007705281952CD9

AlīnaBota

E2E7927C279C3740EA9821595FA2AA23

Kaspersky Lab eksperti atklājuši jaunus finanšu draudus – ļaunprogrammatūru Mezzo, kas spēj aizstāt informāciju failos, kas tiek apmainīti starp grāmatvedības un banku sistēmām. Šobrīd ļaunprogrammatūra uzbrucējiem vienkārši nosūta no inficētā datora uz serveri savākto informāciju, un, pēc analītiķu domām, tas var liecināt, ka Trojas zirga veidotāji gatavojas kādai turpmākai kampaņai. Mezzo upuru skaits joprojām ir tikai daži, un lielākā daļa infekciju reģistrēta Krievijā.

Mezzo tiek izplatīts, izmantojot trešo pušu lejupielādētājus. Pēc nokļūšanas ierīcē Trojas zirgs izveido unikālu inficētā datora identifikatoru, pamatojoties uz to, uzbrucēja serverī tiek izveidota mape, kurā glabājas visi upura atrastie faili. Katra no šīm mapēm ir aizsargāta ar paroli.

Mezzo galvenā interese ir par teksta failiem no populāras grāmatvedības programmatūras, kas izveidota pirms nepilnām divām minūtēm. Trojas zirga funkcionalitāte paredz, ka pēc šādu dokumentu noteikšanas tas gaida, vai tiks atvērts dialoglodziņš informācijas apmaiņai starp grāmatvedības sistēmu un banku. Ja tā notiek, ļaunprogrammatūra var aizstāt konta informāciju failā uzreiz datu pārsūtīšanas laikā. Pretējā gadījumā (ja dialoglodziņš nekad netiek atvērts), Mezzo aizstāj visu failu ar viltotu.

Turklāt Mezzo koda analīze parādīja, ka ļaunprogrammatūra varētu būt saistīta ar citu sensacionālu Trojas zirgu, kas meklē kriptovalūtas, CryptoShuffler. Kaspersky Lab eksperti atklāja, ka Mezzo un AlinaBot programmas kods, kas lejupielādē CryptoShuffler, ir gandrīz identisks pēdējai rindai. Acīmredzot aiz abām ļaunprātīgām programmām ir tie paši vīrusu rakstītāji, kas nozīmē, ka viņu interese var ietekmēt arī lietotāju kriptovalūtas.

“Šī nav pirmā reize, kad mēs saskaramies ar ļaunprātīgu programmatūru, kas uzbrūk grāmatvedības programmatūrai. Tādējādi ar līdzīga TwoBee Trojas zirga palīdzību, ko atklājām aptuveni pirms gada, uzbrucējiem izdevās no Krievijas organizācijām nozagt vairāk nekā 200 miljonus rubļu,” atceras Kaspersky Lab antivīrusu eksperts Sergejs Junakovskis. "Tomēr Mezzo atšķiras no sava "brāļa". No vienas puses, tas izmanto vienkāršāku algoritmu interesējošo failu meklēšanai un pārbaudei. Taču, visticamāk, tas neaprobežojas tikai ar grāmatvedības sistēmām. Un tas lielā mērā atbilst mūsdienu vīrusu rakstītāju garam, kuri arvien vairāk ievieš daudzus moduļus un dažādas funkcijas vienā ļaunprogrammatūrā.

Vairāk par Mezzo Trojas zirga iespējām varat uzzināt Kaspersky Lab analītiskajā pārskatā:

Ļaunprātīga programmatūra, kas uzbrūk grāmatvedības programmatūrai, nav nekas neparasts. Pietiek atcerēties, ka aptuveni pirms gada Kaspersky Lab analītiķi ziņoja par TwoBee ļaunprātīgo kampaņu, kuras laikā noziedzniekiem izdevās nozagt vairāk nekā 200 000 000 rubļu, vienkārši rediģējot maksājuma uzdevumu teksta failus.

Tagad Kaspersky Lab pētnieki ziņo par jaunu, līdzīgu draudu ar nosaukumu Mezzo. Atšķirībā no ļaunprogrammatūras TwoBee, kas aizstāja informāciju apmaiņas failos starp grāmatvedības un banku sistēmām, Mezzo līdz šim vienkārši nosūta inficētajā sistēmā savākto informāciju uz uzbrucēja serveri. Pētnieki uzskata, ka šādā veidā ļaunprogrammatūras izstrādātāji var sagatavoties nākotnes kampaņai, taču šobrīd atrodas informācijas vākšanas stadijā par mērķiem.

Pagaidām Mezzo upuru skaits ir tikai daži, un lielākā daļa infekciju reģistrēta Krievijā.

Pētnieki raksta, ka ļaunprogrammatūra ir izveidota, izmantojot trešās puses lejupielādētāju programmas. Iekļūstot sistēmā, Trojas zirgs inficētajai mašīnai piešķir unikālu identifikatoru, pamatojoties uz kuru uzbrucēja serverī tiek izveidota mape, kurā glabā visus upura atrastos failus. Ļaunprātīgo programmu interesē failu “vecums” (ne vecāki par nedēļu) un rindas 1CClientBankExchange klātbūtne sākumā.

Kā minēts iepriekš, Mezzo galvenā interese ir populāras grāmatvedības programmatūras teksta faili, kas izveidoti pirms mazāk nekā divām minūtēm. Trojas zirga funkcionalitāte paredz, ka pēc šādu dokumentu noteikšanas tas gaida, vai tiks atvērts dialoglodziņš informācijas apmaiņai starp grāmatvedības sistēmu un banku. Ja tā notiek, Mezzo var mainīt failā esošo konta informāciju uzreiz datu pārsūtīšanas laikā. Pretējā gadījumā (ja dialoglodziņš netiek atvērts pēc piecām minūtēm), Mezzo aizstāj visu failu ar viltotu.

Gaida dialoglodziņu

Turklāt Mezzo koda analīze parādīja, ka ļaunprogrammatūra var būt saistīta ar citu labi zināmu Trojas zirgu, kas meklē kriptovalūtas, . Pētnieki atklāja, ka Mezzo un AlinaBot ļaunprātīgās programmatūras pirmkodi, kas sistēmā ielādēja CryptoShuffler, ir gandrīz identiski. Acīmredzot aiz abu draudu izstrādes ir vieni un tie paši cilvēki, kas nozīmē, ka viņus interesē ne tikai grāmatvedības programmatūra, bet arī lietotāju kriptovalūtu maki.

“Šī nav pirmā reize, kad mēs saskaramies ar ļaunprātīgu programmatūru, kas uzbrūk grāmatvedības programmatūrai. Tādējādi ar līdzīga TwoBee Trojas zirga palīdzību, ko atklājām aptuveni pirms gada, uzbrucējiem izdevās no Krievijas organizācijām nozagt vairāk nekā 200 miljonus rubļu,” atceras Kaspersky Lab antivīrusu eksperts Sergejs Junakovskis. "Tomēr Mezzo atšķiras no sava "brāļa". No vienas puses, tas izmanto vienkāršāku algoritmu interesējošo failu meklēšanai un pārbaudei. Taču, visticamāk, tas neaprobežojas tikai ar grāmatvedības sistēmām. Un tas lielā mērā atbilst mūsdienu vīrusu rakstītāju garam, kuri arvien vairāk ievieš daudzus moduļus un dažādas funkcijas vienā ļaunprogrammatūrā.

Kaspersky Lab ir atradis jaunu Trojas zirgu, kas medī īstas un kriptovalūtas

Kaspersky Lab eksperti atklājuši jaunus finanšu draudus – Trojas zirgu Mezzo, kas spēj aizstāt detaļas failos, ar kuriem apmainās starp grāmatvedības un banku sistēmām.

Kaspersky Lab eksperti atklājuši jaunus finanšu draudus – Trojas zirgu Mezzo, kas spēj aizstāt detaļas failos, ar kuriem apmainās starp grāmatvedības un banku sistēmām. Šobrīd ļaunprogrammatūra uzbrucējiem vienkārši nosūta no inficētā datora uz serveri savākto informāciju, un, pēc analītiķu domām, tas var liecināt, ka Trojas zirga veidotāji gatavojas kādai turpmākai kampaņai. Mezzo upuru skaits joprojām ir tikai daži, un lielākā daļa infekciju reģistrēta Krievijā.

Mezzo tiek izplatīts, izmantojot trešo pušu lejupielādētājus. Pēc nokļūšanas ierīcē Trojas zirgs izveido unikālu inficētā datora identifikatoru, pamatojoties uz to, uzbrucēja serverī tiek izveidota mape, kurā glabājas visi upura atrastie faili. Katra no šīm mapēm ir aizsargāta ar paroli.

Mezzo galvenā interese ir par teksta failiem no populāras grāmatvedības programmatūras, kas izveidota pirms nepilnām divām minūtēm. Trojas zirga funkcionalitāte paredz, ka pēc šādu dokumentu noteikšanas tas gaida, vai tiks atvērts dialoglodziņš informācijas apmaiņai starp grāmatvedības sistēmu un banku. Ja tā notiek, ļaunprogrammatūra var aizstāt konta informāciju failā uzreiz datu pārsūtīšanas laikā. Pretējā gadījumā (ja dialoglodziņš nekad netiek atvērts), Mezzo aizstāj visu failu ar viltotu.

Turklāt Mezzo koda analīze parādīja, ka ļaunprogrammatūra varētu būt saistīta ar citu sensacionālu Trojas zirgu, kas meklē kriptovalūtas, CryptoShuffler. Kaspersky Lab eksperti atklāja, ka Mezzo un AlinaBot programmas kods, kas lejupielādē CryptoShuffler, ir gandrīz identisks pēdējai rindai. Acīmredzot aiz abām ļaunprātīgām programmām ir tie paši vīrusu rakstītāji, kas nozīmē, ka viņu interese var ietekmēt arī lietotāju kriptovalūtas.

“Šī nav pirmā reize, kad mēs saskaramies ar ļaunprātīgu programmatūru, kas uzbrūk grāmatvedības programmatūrai. Tādējādi ar līdzīga TwoBee Trojas zirga palīdzību, ko atklājām aptuveni pirms gada, uzbrucējiem izdevās no Krievijas organizācijām nozagt vairāk nekā 200 miljonus rubļu,” atceras Kaspersky Lab antivīrusu eksperts Sergejs Junakovskis. "Tomēr Mezzo atšķiras no sava "brāļa". No vienas puses, tas izmanto vienkāršāku algoritmu interesējošo failu meklēšanai un pārbaudei. Taču, visticamāk, tas neaprobežojas tikai ar grāmatvedības sistēmām. Un tas lielā mērā atbilst mūsdienu vīrusu rakstītāju garam, kuri arvien vairāk ievieš daudzus moduļus un dažādas funkcijas vienā ļaunprogrammatūrā.