Bu, Kaspersky Lab analistlerinin muhasebe programlarına yönelik saldırılarla ilk karşılaşması değil - örneğin, yaklaşık bir yıl önce Trojan.Win32.TwoBee kötü amaçlı yazılımımız vardı. Genel olarak, muhasebe sistemine yapılan saldırı, veri tabanından bankacılık sistemleri için yüklenen verilerde detayların değiştirilmesine indirgenmiştir. Sonuç olarak, para miktarları, sahibinin bilgisi olmadan başkalarının hesaplarına gider. "Kariyerinin" başlangıcında, TwoBee Truva Atı dışarıdan kimlik bilgilerini değiştirmek için veriler aldı ve daha sonra bunları "taşıdı", sunucuya çalışmanın sonuçları hakkında bilgi içeren yalnızca kısa mesajlar gönderdi.

Düşünmek istediğimiz Mezzo Trojan'a gelince, herhangi bir manipülasyon yapmadan sadece metin dosyalarını sunucuya gönderir. Ancak bu, hiçbir tehdidin olmadığı anlamına gelmez - aksine, kötü amaçlı yazılımın yazarlarının gelecekteki bir kampanya için hazırlandıklarını ve şu anda hedefler hakkında bilgi toplama aşamasında olduklarını gösterebilir.

Bu Truva Atı'nın bazı özelliklerine daha yakından bakalım.Bunun için, Mezzo'nun iki değişikliğini ele alacağız - biri yalnızca mevcut muhasebe dosyaları hakkında bilgi toplamaya yöneliktir, ikincisi ise bunların yerini alabilir.

Her ikisinin de karakteristik bir özelliği, başlangıçta kolayca tanınabilir bir muteks yaratılmasıdır:

Bilgi toplama modülü

Başladıktan sonra Mezzo, virüslü bilgisayar için benzersiz bir tanımlayıcı oluşturur:

Bu tanımlayıcı, bulunan dosyalar hakkındaki bilgilerin saklanacağı klasörün adı olarak kullanılır:

Arşivin içeriği şöyle görünür:

Arşivin kendisi bir parola ile korunur (bu kapasitede, arşivin adı da olan önceden oluşturulmuş tanımlayıcı kullanılır). TwoBee'den farklı olarak Mezzo, dosyaları bulmak ve kontrol etmek için daha basit bir algoritma kullanır. Örneğin, TwoBee yalnızca belirli bir minimum işlem miktarı varsa veri sahtekarlığı yaptı:

TwoBee'de minimum miktarı (500.000 ₽) kontrol etme

Ayrıca TwoBee, aktarılan tutarlar hakkında veri topladı.

Mezzo, dosyanın "yaşından" (bir haftadan eski olmamalıdır) ve satırın varlığından emin olur. 1CClientBankExchange başlangıcında:

Arama tamamlandıktan sonra, veriler bir şifre ile bir arşive paketlenir ve sunucuya gönderilir.

veri gönderme

Mezzo C&C sunucusundan gelen istek ve yanıtın yapısı

ikame modülü

Şimdi, görevi muhasebe programının dosyalarını değiştirmek olan Mezzo modülünün nasıl çalıştığını anlayalım.

Truva atı, üç yürütme dizisi oluşturur. Öncelikle ( çöp_ipliği aşağıdaki ekran görüntüsünde) güvenlik yazılımına karşı koymaktan sorumludur - Truva atı bir döngüde büyük bellek bölgelerini tahsis eder ve bunları rastgele verilerle doldurur: bazı güvenlik çözümlerinin "korumalı alanlarında", bellek tahsisinin işlenmesi ve sızıntılarının kontrolü farklıdır "gerçek" işletim sistemlerinin mekanizmalarından ve bu tür istekler işlerini ihlal edebilir. İkincisi, C&C sunucusuna "yeni virüs bulaşmış" bir bilgisayar kaydeder. Üçüncüsü, C&C sunucusunu sorgulamak ve virüslü sistem hakkında bilgi göndermek için gereklidir.

Ana Mezzo prosedürünün başlangıcı

Uygulanan teknoloji çöp _iplik

Mezzo benzersiz bir tanımlayıcı oluşturur ve bunu sunucuya gönderir. Sunucudan 0x46 kodlu bir komut alındığında ( F ilk ) , virüslü sistem hakkında bilgi iletilir. Açıkçası, bu komut, böyle bir tanımlayıcıya ilk erişildiğinde elde edilir.

prosedür get_tasks 0x34 kodunu alırken %TEMP% klasörünün içeriğini siler ( 4 ).

Bundan sonra Truva Atı, aşağıdaki kriterleri karşılayan dosyalar için dosya sisteminin mantıksal bölümlerinin her birini aramaya başlayacaktır:

• İki dakikadan kısa bir süre önce oluşturuldu;
• Dosyanın başında 1CClientBankExchange satırı vardır;
• Uzantısı .txt'dir.

Ortaya çıkan dosya "%TEMP%\ adresine kopyalanır. .txt" ve ikame dosyasının alınacağı uzak bir sunucuya aktarılır. Bu dosya "%TEMP%\ .txt". Program daha sonra kullanıcının belirli program iletişim kutularını çağırmasını bekler.

Bir İletişim Kutusu Bulma

Bu, muhasebe sisteminden bankaya veri aktarımı sırasında dosyayı doğrudan değiştirmek için gereklidir. Bekleme beş dakika sürer ve istenen pencere açılmazsa, Truva atı işlemi durdurmaya çalıştıktan sonra dosyayı sahte bir dosyayla değiştirir. 1cv8c.exeüzerinden Konuyu askıya al. Değiştirme işlemi tamamlandıktan sonra, Truva atı klasörün içeriğini siler. YENİ komut ve kontrol sunucusundan alınan dosya ile.

CryptoShuffler'ın İzleri

Ancak soruşturma bununla sınırlı kalmadı. Bir süre önce, analistlerimiz ve onu sisteme yükleyen kötü amaçlı yazılım. AlinaBot olduğu ortaya çıktı (AlinaPOS ile karıştırılmamalıdır), C&C sunucusunun kimlik doğrulama penceresindeki başlık nedeniyle bu şekilde adlandırılmıştır:

Birçok yönden, bu yaygın önyükleyici (özelliklerine daha sonra bakacağız) Mezzo ile ilişkilidir.

İlk olarak, "zayıf" bağları gözden geçirelim:

Şimdi "güçlü" kanıtlar hakkında. Birincisi, benzersiz bir tanımlayıcı oluşturmanın bir yoludur. Mezzo, AlinaBot ve modüllerinin geri yüklenen kodu son satıra kadar aynıdır:

İkinci kanıt, AlinaBot modüllerinin çalınan verileri benzer şekilde depolamasıdır (bir tanımlayıcının her zaman parola olarak kullanılmaması dışında):

AlinaBot modülü çalışma dizini yapısı

Kodun yüzeysel bir incelemesi bile Mezzo yazarının tarzını ortaya koyuyor - çok sayıda kod parçasının özenle kopyalanması.

AlinaBot'un İşlevleri

Toplamda, AlinaBot'un başlatma isteğine yanıt olarak bir karakter dizisi olarak aldığı sunucudan altı komut (ve "0" komutun yokluğunu belirtir) vardır:

Komutların "bir seferde iki" olarak işlenmesi önemlidir - bu durumda giriş değerlerinin kontrol edilmesi için iki döngü olacaktır. Buna göre, bir çizgide çift konumda ve tek bir konumda bulunan birimlerin amaçları farklı olacaktır. Örneğin, tek bir konumda "2" komutu, bir dosyayı sabit bir adrese yüklerken, çift bir konumda bir indirme bağlantısı alır.

Takım F (çift) sistem hakkında bilgi yükleme talebini belirtir ve aşağıdaki alanları içerir:

• Benzersiz tanımlayıcı;
• İşletim sistemi sürümü;
• Kullanıcı adı;
• Bilgisayar adı;
• Bilgisayar IP adresi.

Takım 1(tek) formun adresine bir dosya yükler /plugins/downloaded/load_file.exe ve çalıştırın :

Takım 1(çift) AlinaBot'un ana gövdesini yeniden başlatır.

Takım 2(tek) ayrıca komut gibi dosyaları C&C sunucusundan indirir 1, ancak, başka bir satırda /plugins/downloaded/load_file_gl.exe ve sunucusu çalışma sırasında hiçbir zaman etkin olmadı.

2(çift) sunucudan dosyanın indirileceği adresi alır ve ardından dosyayı indirir ve çalıştırır.

Genellikle bu komut, kötü amaçlı yazılımları Trojan-Banker.Win32.CryptoShuffler ailesinden kaldırırdı.

Takım 3(çift) konsol uygulama ana bilgisayarının yürütülmesini sonlandırır.

yük

Yüklenen dosyaları almayı başardık, iki türe ayrılabilirler. Birincisi, kripto para cüzdanlarını ve tarayıcı şifrelerini "kaçırır". Cüzdanlar, virüslü sistemde wallet.dat adlı dosyalar aranarak çalınır. Şifreleri kaybetmek yalnızca Chrome ve Opera kullanıcılarını tehdit eder, her iki tarayıcı da hesap verilerini benzer şekilde depolar - form adresindeki SQLLite veritabanları şeklinde " C:\Kullanıcılar\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\Kullanıcı Verileri\Varsayılan". Eklenti, SQLLite kitaplığını kullanarak bu dosyaları açar ve kullanıcının bir kimlik doğrulama parolası belirlememesi durumunda "boş parola" kullanarak verilerin şifresini çözmeye çalışır. Kötü amaçlı yazılım, alınan verileri bir şifre ile bir ZIP arşivinde sunucuya gönderir. 1 q 2w 3e 4r .

Chrome'dan geri yüklenen şifre veri çıkarma kodu

Dosyalar, Mezzo'ya benzer şekilde "depolanır".

Bu modülle ilgili son kayda değer an: yazar curl kullanmaktan uzaklaştı ve belirli bir Anasazi kodunu ödünç aldı: karakteristik dize WARPCRYPT her iki durumda da mevcuttur. Artı, Anasazi'nin kaynak kodunu pastebin'de bulduk.

Pastebin'de kurtarılan AlinaBOT modül kodu ile Anasazi kaynaklarının karşılaştırılması

Yüklenen ikinci dosya, virüslü bir bilgisayarı uzaktan kontrol etme yeteneğine sahiptir. Kendi başına, bu modül özellikle ilgi çekici değildir, örneğin aşağıdaki komutları yürüten oldukça yaygın bir arka kapıdır:

• 0x403: Görev yöneticisini başlat
• 0x406: Chrome işlemini sonlandır
• 0x40F: Komut satırını başlat
• 0x413: Belirli verileri arabelleğe alın ve belirtilen pencereye gönderin

MD5

Bilgi toplama modülü:
Yedek modül: 1083439FAE49A745F007705281952CD9

AlinaBot

E2E7927C279C3740EA9821595FA2AA23

Kaspersky Lab uzmanları, muhasebe ve bankacılık sistemleri arasındaki değişim dosyalarındaki ayrıntıların yerini alabilen Mezzo kötü amaçlı yazılımı olan yeni bir finansal tehdit keşfetti. Şu anda kötü amaçlı yazılım, virüs bulaşmış bilgisayardan toplanan bilgileri saldırganın sunucusuna gönderiyor ve analistlere göre bu, Truva Atı'nın yaratıcılarının gelecekteki bir kampanyaya hazırlandıklarını gösterebilir. Mezzo kurbanlarının sayısı hala birimlerde ve enfeksiyonların çoğu Rusya'da kaydedildi.

Mezzo tarafından üçüncü taraf indiriciler kullanılarak dağıtılır. Cihaza çarptıktan sonra, Truva atı, virüslü bilgisayar için benzersiz bir tanımlayıcı oluşturur ve buna dayanarak, saldırganın sunucusunda, kurbanda bulunan tüm dosyaları depolamak için bir klasör oluşturulur. Bu klasörlerin her biri parola korumalıdır.

Mezzo'nun birincil ilgi alanı, iki dakikadan kısa bir süre önce oluşturulmuş popüler muhasebe yazılımından alınan metin dosyalarıdır. Trojan'ın işlevselliği, bu tür belgeleri tespit ettikten sonra, muhasebe sistemi ile banka arasında bilgi alışverişi yapmak için bir iletişim kutusunun açılıp açılmayacağını görmek için beklediğini varsayar. Böyle bir durumda, kötü amaçlı yazılım, veri aktarımı anında dosyadaki hesap ayrıntılarını değiştirebilir. Aksi takdirde (iletişim kutusu hiç açılmazsa), Mezzo tüm dosyayı sahte bir dosyayla değiştirir.

Ek olarak, Mezzo kodunun analizi, kötü amaçlı yazılımın başka bir yüksek profilli kripto avcısı Truva atı olan CryptoShuffler ile ilişkili olabileceğini gösterdi. Kaspersky Lab uzmanları, CryptoShuffler'ı indiren Mezzo kodu ve AlinaBot programının neredeyse son satırla aynı olduğunu buldu. Görünüşe göre her iki kötü amaçlı yazılımın arkasında aynı virüs yazarları var, bu da onların ilgi alanlarının kullanıcıların kripto cüzdanlarını da etkileyebileceği anlamına geliyor.

“Bu, muhasebe yazılımlarına saldıran kötü amaçlı yazılımlarla ilk karşılaşmamız değil. Örneğin, yaklaşık bir yıl önce keşfettiğimiz benzer Trojan TwoBee'nin yardımıyla, saldırganlar Rus kuruluşlarından 200 milyon rubleden fazla çalmayı başardı," diye hatırlatıyor Kaspersky Lab'de anti-virüs uzmanı Sergei Yunakovsky. – Ancak Mezzo, “kardeşi”nden farklıdır. Bir yandan, ilgilenilen dosyaları aramak ve kontrol etmek için daha basit bir algoritma kullanır. Ancak aynı zamanda, tek başına muhasebe sistemleriyle sınırlı kalmaması da muhtemeldir. Ve bu, giderek artan bir şekilde tek bir kötü amaçlı yazılım içinde birçok modül ve çeşitli işlevler uygulayan modern virüs yazarlarının ruhuna uygundur.”

Kaspersky Lab'ın analitik raporundan Mezzo Trojan'ın yetenekleri hakkında daha fazla bilgi edinebilirsiniz:

Muhasebe yazılımlarına saldıran kötü amaçlı yazılımlar nadir değildir. Yaklaşık bir yıl önce, Kaspersky Lab analistlerinin, suçluların ödeme emirlerinin metin dosyalarını düzenleyerek 200.000.000 rubleden fazla çalmayı başardıkları TwoBee kötü niyetli kampanyasından bahsettiğini hatırlamak yeterli.

Şimdi, Kaspersky Lab araştırmacıları Mezzo adında yeni bir benzer tehdidi rapor ediyor. Muhasebe ve bankacılık sistemleri arasında değiş tokuş edilen dosyalardaki ayrıntıları değiştiren TwoBee kötü amaçlı yazılımının aksine, Mezzo şimdiye kadar virüslü sistemde toplanan bilgileri saldırganların sunucusuna gönderiyor. Araştırmacılar, bu şekilde kötü amaçlı yazılım geliştiricilerin gelecekteki bir kampanyaya hazırlanabileceklerine ve şu anda hedefler hakkında bilgi toplama aşamasında olduklarına inanıyorlar.

Şimdiye kadar, Mezzo kurbanlarının sayısı birim olarak hesaplandı ve enfeksiyonların çoğu Rusya'da kaydedildi.

Araştırmacılar, kötü amaçlı yazılımın üçüncü taraf indiricilerin yardımıyla olduğunu yazıyor. Sisteme giren Truva Atı, virüslü makineye, kurbanda bulunan tüm dosyaları depolamak için saldırganların sunucusunda bir klasör oluşturulmasına dayalı benzersiz bir tanımlayıcı atar. Kötü amaçlı yazılım, dosyaların "yaşıyla" (bir haftadan eski olmayan) ve başlangıçta 1CClientBankExchange satırının varlığıyla ilgileniyor.

Yukarıda bahsedildiği gibi, Mezzo'nun asıl ilgi alanı, iki dakikadan kısa bir süre önce oluşturulmuş popüler muhasebe yazılımının metin dosyalarıdır. Trojan'ın işlevselliği, bu tür belgeleri tespit ettikten sonra, muhasebe sistemi ile banka arasında bilgi alışverişi yapmak için bir iletişim kutusunun açılıp açılmayacağını görmek için beklediğini varsayar. Böyle bir durumda Mezzo, veri aktarımı sırasında dosyadaki hesap detaylarını değiştirebilir. Aksi takdirde (iletişim kutusu beş dakika içinde açılmazsa), Mezzo tüm dosyayı sahte bir dosyayla değiştirir.

Bir İletişim Kutusu Beklemek

Ayrıca, Mezzo kodunun bir analizi, kötü amaçlı yazılımın kripto para birimleri için avlanan başka bir iyi bilinen truva atıyla ilişkili olabileceğini gösterdi. Araştırmacılar, CryptoShuffler'ı sisteme yükleyen Mezzo ve AlinaBot kötü amaçlı yazılımının kaynak kodlarının neredeyse aynı olduğunu buldular. Görünüşe göre, her iki tehdidin de arkasında aynı insanlar var, bu da sadece muhasebe yazılımıyla değil, aynı zamanda kullanıcıların kripto para cüzdanlarıyla da ilgilendikleri anlamına geliyor.

“Bu, muhasebe yazılımlarına saldıran kötü amaçlı yazılımlarla ilk karşılaşmamız değil. Örneğin, yaklaşık bir yıl önce keşfettiğimiz benzer Trojan TwoBee'nin yardımıyla, saldırganlar Rus kuruluşlarından 200 milyon rubleden fazla çalmayı başardı," diye hatırlatıyor Kaspersky Lab'de anti-virüs uzmanı Sergei Yunakovsky. – Ancak Mezzo, “kardeşi”nden farklıdır. Bir yandan, ilgilenilen dosyaları aramak ve kontrol etmek için daha basit bir algoritma kullanır. Ancak aynı zamanda, tek başına muhasebe sistemleriyle sınırlı kalmaması da muhtemeldir. Ve bu, giderek artan bir şekilde tek bir kötü amaçlı yazılım içinde birçok modül ve çeşitli işlevler uygulayan modern virüs yazarlarının ruhuna uygundur.”

Kaspersky Lab, gerçek ve kripto para birimleri için yeni bir Truva atı avı buldu

Kaspersky Lab uzmanları, muhasebe ve bankacılık sistemleri arasındaki değişim dosyalarındaki ayrıntıları değiştirebilen yeni bir finansal tehdit keşfettiler: Mezzo Truva Atı.

Kaspersky Lab uzmanları, muhasebe ve bankacılık sistemleri arasındaki değişim dosyalarındaki ayrıntıları değiştirebilen yeni bir finansal tehdit keşfettiler: Mezzo Truva Atı. Şu anda kötü amaçlı yazılım, virüs bulaşmış bilgisayardan toplanan bilgileri saldırganın sunucusuna gönderiyor ve analistlere göre bu, Truva Atı'nın yaratıcılarının gelecekteki bir kampanyaya hazırlandıklarını gösterebilir. Mezzo kurbanlarının sayısı hala birimlerde ve enfeksiyonların çoğu Rusya'da kaydedildi.

Mezzo tarafından üçüncü taraf indiriciler kullanılarak dağıtılır. Cihaza çarptıktan sonra, Truva atı, virüslü bilgisayar için benzersiz bir tanımlayıcı oluşturur ve buna dayanarak, saldırganın sunucusunda, kurbanda bulunan tüm dosyaları depolamak için bir klasör oluşturulur. Bu klasörlerin her biri parola korumalıdır.

Mezzo'nun birincil ilgi alanı, iki dakikadan kısa bir süre önce oluşturulmuş popüler muhasebe yazılımından alınan metin dosyalarıdır. Trojan'ın işlevselliği, bu tür belgeleri tespit ettikten sonra, muhasebe sistemi ile banka arasında bilgi alışverişi yapmak için bir iletişim kutusunun açılıp açılmayacağını görmek için beklediğini varsayar. Böyle bir durumda, kötü amaçlı yazılım, veri aktarımı anında dosyadaki hesap ayrıntılarını değiştirebilir. Aksi takdirde (iletişim kutusu hiç açılmazsa), Mezzo tüm dosyayı sahte bir dosyayla değiştirir.

Ek olarak, Mezzo kodunun analizi, kötü amaçlı yazılımın başka bir yüksek profilli kripto avcısı Truva atı olan CryptoShuffler ile ilişkili olabileceğini gösterdi. Kaspersky Lab uzmanları, CryptoShuffler'ı indiren Mezzo kodu ve AlinaBot programının neredeyse son satırla aynı olduğunu buldu. Görünüşe göre her iki kötü amaçlı yazılımın arkasında aynı virüs yazarları var, bu da onların ilgi alanlarının kullanıcıların kripto cüzdanlarını da etkileyebileceği anlamına geliyor.

“Bu, muhasebe yazılımlarına saldıran kötü amaçlı yazılımlarla ilk karşılaşmamız değil. Örneğin, yaklaşık bir yıl önce keşfettiğimiz benzer Trojan TwoBee'nin yardımıyla, saldırganlar Rus kuruluşlarından 200 milyon rubleden fazla çalmayı başardı," diye hatırlatıyor Kaspersky Lab'de anti-virüs uzmanı Sergei Yunakovsky. – Ancak Mezzo, “kardeşi”nden farklıdır. Bir yandan, ilgilenilen dosyaları aramak ve kontrol etmek için daha basit bir algoritma kullanır. Ancak aynı zamanda, tek başına muhasebe sistemleriyle sınırlı kalmaması da muhtemeldir. Ve bu, giderek artan bir şekilde tek bir kötü amaçlı yazılım içinde birçok modül ve çeşitli işlevler uygulayan modern virüs yazarlarının ruhuna uygundur.”