Kjo nuk është hera e parë që analistët e Kaspersky Lab ndeshen me sulme ndaj programeve të kontabilitetit - për shembull, rreth një vit më parë u ndeshën me malware Trojan.Win32.TwoBee. Në përgjithësi, sulmi ndaj sistemit të kontabilitetit u reduktua në zëvendësimin e detajeve në të dhënat e shkarkuara nga baza e të dhënave për sistemet bankare. Si rezultat, shuma parash shkojnë në llogaritë e të tjerëve pa dijeninë e pronarit. Në fillim të "karrierës" së tij, TwoBee Trojan mori të dhëna për të zëvendësuar detajet nga jashtë, dhe më vonë e "mbarti" me vete, duke dërguar vetëm mesazhe të shkurtra në server me informacione për rezultatet e punës së tij.

Sa i përket Mezzo Trojan, të cilin duam ta shikojmë, ai thjesht dërgon skedarë teksti në server pa kryer asnjë manipulim me to. Megjithatë, kjo nuk do të thotë se nuk ka asnjë kërcënim - përkundrazi, mund të tregojë se autorët e malware po përgatiten të kompania e ardhshme dhe aktualisht janë në fazën e mbledhjes së informacionit për qëllimet.

Le të hedhim një vështrim më të afërt në disa nga veçoritë e këtij Trojan Për ta bërë këtë, ne do të shohim dy modifikime të Mezzo - njëra është krijuar ekskluzivisht për mbledhjen e informacionit rreth skedarëve ekzistues të kontabilitetit, ndërsa e dyta është në gjendje t'i zëvendësojë ato.

Një tipar karakteristik i të dyjave është krijimi i një mutex lehtësisht të dallueshëm në fillim:

Moduli i mbledhjes së informacionit

Sapo Mezzo të fillojë të punojë, ai krijon një identifikues unik për kompjuterin e infektuar:

Ky identifikues përdoret si emri i dosjes ku do të ruhen informacionet për skedarët e gjetur:

Përmbajtja e arkivit është si më poshtë:

Vetë arkivi mbrohet nga një fjalëkalim (në këtë kapacitet përdoret identifikuesi i krijuar më parë, i cili është edhe emri i arkivit). Ndryshe nga TwoBee, Mezzo përdor një algoritëm më të thjeshtë për të kërkuar dhe skanuar skedarë. Për shembull, TwoBee kryente zëvendësimin e të dhënave vetëm nëse kishte një të caktuar shuma minimale transaksionet:

Kontrollimi i shumës minimale (500,000 ₽) në TwoBee

Përveç kësaj, TwoBee mblodhi të dhëna për shumat e transferuara.

Mezzo thjesht verifikon “moshën” e dosjes (nuk duhet të jetë më e vjetër se një javë) dhe praninë e linjës 1CClientBankExchange në fillimin e tij:

Pas përfundimit të kërkimit, të dhënat paketohen në një arkiv me një fjalëkalim dhe dërgohen në server.

Dërgimi i të dhënave

Struktura e një kërkese dhe përgjigje nga serveri Mezzo C&C

Moduli i zëvendësimit

Tani le të kuptojmë se si funksionon moduli Mezzo, detyra e të cilit është të zëvendësojë skedarët e programit të kontabilitetit.

Trojani krijon tre fije ekzekutimi. Së pari ( trash_fije në pamjen e mëposhtme) është përgjegjës për kundërveprimin e softuerit të sigurisë - Trojani shpërndan rajone të mëdha të memories në një lak dhe i mbush ato me të dhëna arbitrare: në "kutitë e rërës" të disa zgjidhjeve të sigurisë, përpunimi i shpërndarjes së kujtesës dhe kontrolli i rrjedhjeve të tij ndryshon nga mekanizmat e sistemeve operative “reale” dhe kërkesa të tilla mund të cenojnë punën e tyre. E dyta regjistron kompjuterin "i sapo infektuar" në serverin e komandës dhe kontrollit. E treta është e nevojshme për të anketuar serverin C&C dhe për të transmetuar informacione rreth sistemit të infektuar.

Fillimi i procedurës kryesore të Mezzo-s

Teknologjia e zbatuar në plehra _fije

Mezzo krijon një ID unike dhe ia dërgon serverit. Në rastin kur një komandë me kodin 0x46 merret nga serveri ( F së pari ) , transmetohet informacion rreth sistemit të infektuar. Natyrisht, kjo komandë merret herën e parë që hyni në një identifikues të tillë.

Procedura marr_detyrat do të fshijë përmbajtjen e dosjes %TEMP% kur merr kodin 0x34 ( 4 ).

Pas kësaj, Trojan do të fillojë të kërkojë në secilën prej ndarjeve logjike të sistemit të skedarëve për skedarë që plotësojnë kriteret e mëposhtme:

• Krijuar më pak se dy minuta më parë;
• Në fillim të skedarit është një rresht 1CClientBankExchange;
• Zgjerimi - .txt.

Skedari që rezulton kopjohet në adresën "%TEMP%\ .txt" dhe transmetohet në një server të largët, nga i cili do të merret skedari për zëvendësim. Ky skedar do të ruhet si "%TEMP%\ .tekst". Më pas programi pret që përdoruesi të thërrasë disa kuti dialogu të programit.

Kutia e dialogut të kërkimit

Kjo është e nevojshme për të zëvendësuar skedarin menjëherë në momentin e transferimit të të dhënave nga sistemi i kontabilitetit në bankë. Pritja zgjat pesë minuta dhe nëse dritarja e kërkuar nuk është e hapur, trojani thjesht do të zëvendësojë skedarin me një të rremë, pasi fillimisht të përpiqet të ndalojë procesin 1cv8c.exe duke përdorur SuspendThread. Pasi të përfundojë zëvendësimi, trojani do të fshijë përmbajtjen e dosjes I RI me skedarin e marrë nga serveri i komandës dhe kontrollit.

Gjurmët e CryptoShuffler

Megjithatë, hetimi nuk përfundoi me kaq. Disa kohë më parë, analistët tanë dhe malware që e shkarkojnë atë në sistem. Doli të ishte AlinaBot (të mos ngatërrohet me AlinaPOS), i quajtur kështu për shkak të titullit në dritaren e vërtetimit të serverit C&C:

Në shumë mënyra, ky shkarkues i zakonshëm (do t'i shikojmë veçoritë e tij më pas) lidhet me Mezzo.

Së pari, le të shohim lidhjet "të dobëta":

Tani për provat "të forta". E para është një mënyrë për të gjeneruar një identifikues unik. Kodi i rivendosur i Mezzo, AlinaBot dhe moduleve të tij përputhet deri në rreshtin e fundit:

Prova e dytë është fakti që modulet AlinaBot ruajnë të dhënat e vjedhura në një mënyrë të ngjashme (me përjashtim të faktit që një identifikues nuk përdoret gjithmonë si fjalëkalim):

Struktura e drejtorisë së punës së modulit AlinaBot

Edhe një ekzaminim sipërfaqësor i kodit zbulon stilin e autorit të Mezzo - duke kopjuar me zell një numër të madh fragmentesh kodi.

Funksionet AlinaBot

Janë gjithsej gjashtë komanda nga serveri (dhe "0" që nuk tregon asnjë komandë), të cilat AlinaBot i merr në përgjigje të kërkesës së inicializimit si një varg karakteresh:

Është e rëndësishme që komandat të përpunohen "dy në një kohë" - në këtë rast do të ketë dy cikle të kontrollit të vlerave të hyrjes. Prandaj, njësitë në pozicionin çift në vijë dhe tek tek do të ndryshojnë në qëllimin e tyre. Për shembull, komanda "2" në një pozicion tek ngarkon një skedar në një adresë fikse, ndërsa në një pozicion çift merr një lidhje shkarkimi.

Ekipi F (madje) tregon një kërkesë për të shkarkuar informacionin e sistemit dhe përfshin fushat e mëposhtme:

• Identifikues unik;
• versioni i sistemit operativ;
• Emri i përdoruesit;
• Emri i kompjuterit;
• Adresa IP e kompjuterit.

Ekipi 1 (tek) ngarkon një skedar në adresën e formularit /plugins/downloaded/load_file.exe dhe e nis atë :

Ekipi 1 (madje) rinis trupin kryesor të AlinaBot.

Ekipi 2 (tek) gjithashtu shkarkon skedarë nga serveri C&C si komanda 1, megjithatë në një linjë tjetër /plugins/downloaded/load_file_gl.exe dhe serveri i tij nuk ishte kurrë aktiv gjatë studimit.

2 (madje) merr nga serveri adresën nga e cila duhet të shkarkohet skedari dhe më pas e shkarkon dhe e ekzekuton atë.

Në mënyrë tipike, kjo komandë përdorej për të shkarkuar malware nga familja Trojan-Banker.Win32.CryptoShuffler

Ekipi 3 (madje) përfundon ekzekutimin e hostit të aplikacionit të konsolës.

Ngarkesa

Ne ishim në gjendje të merrnim skedarët e ngarkuar, ato mund të ndahen në dy lloje. E para "rrëmben" kuletat e kriptomonedhave dhe fjalëkalimet e shfletuesit. Vjedhja e kuletave realizohet thjesht duke kërkuar në sistemin e infektuar skedarë të quajtur wallet.dat. Humbja e fjalëkalimeve prek vetëm përdoruesit e Chrome dhe Opera të dy shfletuesit ruajnë të dhënat e llogarisë në një mënyrë të ngjashme - në formën e bazave të të dhënave SQLLite në një adresë si "; C:\Përdoruesit\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\User Data\Default". Shtojca hap këto skedarë duke përdorur bibliotekën SQLLite dhe përpiqet të deshifrojë të dhënat duke përdorur një "fjalëkalim bosh", në rast se përdoruesi nuk ka specifikuar një fjalëkalim për vërtetim. Malware i dërgon të dhënat e marra në server në një arkiv ZIP me një fjalëkalim 1 q 2w 3e 4r .

Kodi i rikuperuar për nxjerrjen e të dhënave të fjalëkalimit nga Chrome

Skedarët "ruhen" në një mënyrë të ngjashme me Mezzo.

Një gjë e fundit që vlen të përmendet në lidhje me këtë modul: autori u largua nga përdorimi i curl dhe huazoi kodin e një Anasazi të caktuar: linjë karakteristike WARPCRYPT prezente në të dyja rastet. Plus, ne zbuluam kodin burimor Anasazi në pastebin.

Krahasimi i kodit të rivendosur të modulit AlinaBOT dhe kodit burimor Anasazi në Pastebin

Skedari i dytë i ngarkuar ka aftësinë për të kontrolluar nga distanca kompjuterin e infektuar. Ky modul në vetvete nuk është me interes të veçantë, duke qenë një backdoor mjaft i zakonshëm që ekzekuton, për shembull, komandat e mëposhtme:

• 0x403: Nis menaxherin e detyrave
• 0x406: Përfundoni procesin e Chrome
• 0x40F: Hapni linjën e komandës
• 0x413: Buferoni të dhëna të caktuara dhe dërgojini në dritaren e specifikuar

MD 5

Moduli i mbledhjes së informacionit:
Moduli i zëvendësimit: 1083439FAE49A745F007705281952CD9

AlinaBot

E2E7927C279C3740EA9821595FA2AA23

Ekspertët e Kaspersky Lab kanë zbuluar një kërcënim të ri financiar – malware Mezzo, i cili është në gjendje të zëvendësojë detajet në skedarët e shkëmbyer midis sistemeve të kontabilitetit dhe bankave. Për momentin, malware thjesht dërgon informacionin e mbledhur nga kompjuteri i infektuar në server te sulmuesit, dhe, sipas analistëve, kjo mund të tregojë se krijuesit e Trojanit po përgatiten për një fushatë të ardhshme. Numri i viktimave të Mezzo është ende vetëm pak, me shumicën e infeksioneve të regjistruara në Rusi.

Mezzo shpërndahet duke përdorur shkarkues të palëve të treta. Pas arritjes së pajisjes, Trojani krijon një identifikues unik për kompjuterin e infektuar, bazuar në të, krijohet një dosje në serverin e sulmuesve për të ruajtur të gjithë skedarët e gjetur në viktimë. Secila prej këtyre dosjeve është e mbrojtur me fjalëkalim.

Interesi kryesor i Mezzo-s është në skedarët e tekstit nga programet e njohura të kontabilitetit të krijuara më pak se dy minuta më parë. Funksionaliteti i Trojanit supozon që pas zbulimit të dokumenteve të tilla, ai pret të shohë nëse do të hapet një kuti dialogu për shkëmbimin e informacionit midis sistemit të kontabilitetit dhe bankës. Nëse kjo ndodh, malware mund të zëvendësojë detajet e llogarisë në skedar menjëherë në momentin e transferimit të të dhënave. Përndryshe (nëse dialogu nuk hapet kurrë), Mezzo zëvendëson të gjithë skedarin me një të rremë.

Përveç kësaj, analiza e kodit Mezzo tregoi se malware mund të lidhet me një tjetër Trojan të profilit të lartë që gjuan për kriptovalutat, CryptoShuffler. Ekspertët e Kaspersky Lab zbuluan se kodi i Mezzo dhe programi AlinaBot që shkarkon CryptoShuffler janë identik pothuajse me rreshtin e fundit. Me sa duket, të njëjtët shkrues të viruseve janë prapa të dy malware, që do të thotë se interesi i tyre mund të ndikojë gjithashtu në portofolin e kriptove të përdoruesve.

“Kjo nuk është hera e parë që ne kemi hasur në malware që sulmojnë softuerin e kontabilitetit. Kështu, me ndihmën e një Trojan të ngjashëm TwoBee që zbuluam rreth një vit më parë, sulmuesit arritën të vidhnin më shumë se 200 milionë rubla nga organizatat ruse,” kujton Sergey Yunakovsky, një ekspert antivirus në Kaspersky Lab. "Megjithatë, Mezzo është i ndryshëm nga "vëllai i tij". Nga njëra anë, ai përdor një algoritëm më të thjeshtë për kërkimin dhe kontrollimin e skedarëve me interes. Por ka të ngjarë që ai të mos kufizohet vetëm në sistemet e kontabilitetit. Dhe kjo është shumë në frymën e shkrimtarëve modernë të viruseve, të cilët po zbatojnë gjithnjë e më shumë shumë module dhe funksione të ndryshme brenda një malware të vetëm.”

Mund të mësoni më shumë rreth aftësive të Mezzo Trojan nga raporti analitik i Kaspersky Lab:

Softueri i kontabilitetit që sulmon malware nuk është i pazakontë. Mjafton të kujtojmë se rreth një vit më parë, analistët e Kaspersky Lab raportuan për fushatën me qëllim të keq TwoBee, gjatë së cilës kriminelët arritën të vidhnin më shumë se 200,000,000 rubla thjesht duke redaktuar skedarët e tekstit të urdhërpagesave.

Tani studiuesit e Kaspersky Lab po raportojnë një kërcënim të ri, të ngjashëm të quajtur Mezzo. Ndryshe nga malware-i TwoBee, i cili zëvendësoi detajet në skedarët e shkëmbimit midis sistemeve të kontabilitetit dhe sistemit bankar, Mezzo deri më tani thjesht dërgon informacionin e mbledhur në sistemin e infektuar në serverin e sulmuesve. Studiuesit besojnë se në këtë mënyrë zhvilluesit e malware mund të përgatiten për një fushatë të ardhshme, por aktualisht janë në fazën e mbledhjes së informacionit rreth objektivave.

Deri më tani, numri i viktimave të Mezzo është vetëm pak, dhe shumica e infeksioneve janë regjistruar në Rusi.

Studiuesit shkruajnë se malware është krijuar duke përdorur programe shkarkimi të palëve të treta. Pasi ka depërtuar në sistem, Trojani i cakton një identifikues unik makinës së infektuar, në bazë të së cilës krijohet një dosje në serverin e sulmuesve për të ruajtur të gjithë skedarët e gjetur në viktimë. Malware është i interesuar për "moshën" e skedarëve (jo më shumë se një javë) dhe praninë e linjës 1CClientBankExchange në fillim.

Siç u përmend më lart, interesi kryesor për Mezzo janë skedarët e tekstit të softuerit të njohur të kontabilitetit të krijuar më pak se dy minuta më parë. Funksionaliteti i Trojanit supozon që pas zbulimit të dokumenteve të tilla, ai pret të shohë nëse do të hapet një kuti dialogu për shkëmbimin e informacionit midis sistemit të kontabilitetit dhe bankës. Nëse kjo ndodh, Mezzo mund të ndryshojë të dhënat e llogarisë në dosje menjëherë në momentin e transferimit të të dhënave. Përndryshe (nëse kutia e dialogut nuk hapet pas pesë minutash), Mezzo zëvendëson të gjithë skedarin me një të rremë.

Në pritje të kutisë së dialogut

Gjithashtu, një analizë e kodit Mezzo tregoi se malware mund të lidhet me një tjetër Trojan të njohur që gjuan për kriptovaluta, . Studiuesit zbuluan se kodet burimore të Mezzo dhe malware AlinaBot që ngarkuan CryptoShuffler në sistem janë pothuajse identike. Me sa duket, të njëjtët njerëz qëndrojnë prapa zhvillimit të të dy kërcënimeve, që do të thotë se ata janë të interesuar jo vetëm për programet e kontabilitetit, por edhe për kuletat e kriptomonedhave të përdoruesve.

“Kjo nuk është hera e parë që ne kemi hasur në malware që sulmojnë softuerin e kontabilitetit. Kështu, me ndihmën e një Trojan të ngjashëm TwoBee që zbuluam rreth një vit më parë, sulmuesit arritën të vidhnin më shumë se 200 milionë rubla nga organizatat ruse,” kujton Sergey Yunakovsky, një ekspert antivirus në Kaspersky Lab. "Megjithatë, Mezzo është i ndryshëm nga "vëllai i tij". Nga njëra anë, ai përdor një algoritëm më të thjeshtë për kërkimin dhe kontrollimin e skedarëve me interes. Por ka të ngjarë që ai të mos kufizohet vetëm në sistemet e kontabilitetit. Dhe kjo është shumë në frymën e shkrimtarëve modernë të viruseve, të cilët po zbatojnë gjithnjë e më shumë shumë module dhe funksione të ndryshme brenda një malware të vetëm.”

Kaspersky Lab ka gjetur një Trojan të ri që gjuan për monedha reale dhe kriptomonedha

Ekspertët e Kaspersky Lab kanë zbuluar një kërcënim të ri financiar - Mezzo Trojan, i cili është në gjendje të zëvendësojë detajet në dosjet e shkëmbyera midis sistemeve të kontabilitetit dhe bankave.

Ekspertët e Kaspersky Lab kanë zbuluar një kërcënim të ri financiar - Mezzo Trojan, i cili është në gjendje të zëvendësojë detajet në dosjet e shkëmbyera midis sistemeve të kontabilitetit dhe bankave. Për momentin, malware thjesht dërgon informacionin e mbledhur nga kompjuteri i infektuar në server te sulmuesit, dhe, sipas analistëve, kjo mund të tregojë se krijuesit e Trojanit po përgatiten për një fushatë të ardhshme. Numri i viktimave të Mezzo është ende vetëm pak, me shumicën e infeksioneve të regjistruara në Rusi.

Mezzo shpërndahet duke përdorur shkarkues të palëve të treta. Pas arritjes së pajisjes, Trojani krijon një identifikues unik për kompjuterin e infektuar, bazuar në të, krijohet një dosje në serverin e sulmuesve për të ruajtur të gjithë skedarët e gjetur në viktimë. Secila prej këtyre dosjeve është e mbrojtur me fjalëkalim.

Interesi kryesor i Mezzo-s është në skedarët e tekstit nga programet e njohura të kontabilitetit të krijuara më pak se dy minuta më parë. Funksionaliteti i Trojanit supozon që pas zbulimit të dokumenteve të tilla, ai pret të shohë nëse do të hapet një kuti dialogu për shkëmbimin e informacionit midis sistemit të kontabilitetit dhe bankës. Nëse kjo ndodh, malware mund të zëvendësojë detajet e llogarisë në skedar menjëherë në momentin e transferimit të të dhënave. Përndryshe (nëse dialogu nuk hapet kurrë), Mezzo zëvendëson të gjithë skedarin me një të rremë.

Përveç kësaj, analiza e kodit Mezzo tregoi se malware mund të lidhet me një tjetër Trojan sensacional që gjuan për kriptovaluta, CryptoShuffler. Ekspertët e Kaspersky Lab zbuluan se kodi i Mezzo dhe programi AlinaBot që shkarkon CryptoShuffler janë identik pothuajse me rreshtin e fundit. Me sa duket, të njëjtët shkrues të viruseve janë prapa të dy malware, që do të thotë se interesi i tyre mund të ndikojë gjithashtu në portofolin e kriptove të përdoruesve.

“Kjo nuk është hera e parë që ne kemi hasur në malware që sulmojnë softuerin e kontabilitetit. Kështu, me ndihmën e një Trojan të ngjashëm TwoBee që zbuluam rreth një vit më parë, sulmuesit arritën të vidhnin më shumë se 200 milionë rubla nga organizatat ruse,” kujton Sergey Yunakovsky, një ekspert antivirus në Kaspersky Lab. "Megjithatë, Mezzo është i ndryshëm nga "vëllai i tij". Nga njëra anë, ai përdor një algoritëm më të thjeshtë për kërkimin dhe kontrollimin e skedarëve me interes. Por ka të ngjarë që ai të mos kufizohet vetëm në sistemet e kontabilitetit. Dhe kjo është shumë në frymën e shkrimtarëve modernë të viruseve, të cilët po zbatojnë gjithnjë e më shumë shumë module dhe funksione të ndryshme brenda një malware të vetëm.”