Đây không phải là lần đầu tiên các nhà phân tích của Kaspersky Lab gặp phải các cuộc tấn công vào các chương trình kế toán - ví dụ: khoảng một năm trước, chúng tôi đã gặp phải phần mềm độc hại Trojan.Win32.TwoBee. Nhìn chung, cuộc tấn công vào hệ thống kế toán được giảm bớt bằng việc thay thế các chi tiết trong dữ liệu được tải xuống từ cơ sở dữ liệu của hệ thống ngân hàng. Kết quả là số tiền được chuyển vào tài khoản của người khác mà chủ sở hữu không hề hay biết. Khi bắt đầu “sự nghiệp” của mình, Trojan TwoBee nhận dữ liệu để thay thế các chi tiết từ bên ngoài, sau đó “mang theo” dữ liệu đó, chỉ gửi những tin nhắn ngắn đến máy chủ kèm thông tin về kết quả công việc của nó.

Đối với Mezzo Trojan mà chúng tôi muốn xem xét, nó chỉ gửi các tệp văn bản đến máy chủ mà không thực hiện bất kỳ thao tác nào với chúng. Tuy nhiên, điều này không có nghĩa là không có mối đe dọa - ngược lại, nó có thể cho thấy tác giả của phần mềm độc hại đang chuẩn bị tấn công. công ty tương lai và hiện đang ở giai đoạn thu thập thông tin về các mục tiêu.

Chúng ta hãy xem xét kỹ hơn một số tính năng của Trojan này. Để làm được điều này, chúng ta sẽ xem xét hai sửa đổi của Mezzo – một được thiết kế dành riêng để thu thập thông tin về các tệp kế toán hiện có, trong khi phiên bản thứ hai có khả năng thay thế chúng.

Một tính năng đặc trưng của cả hai là tạo ra một mutex dễ nhận biết ngay từ đầu:

Mô-đun thu thập thông tin

Khi Mezzo bắt đầu hoạt động, nó sẽ tạo một mã định danh duy nhất cho máy tính bị nhiễm:

Mã định danh này được sử dụng làm tên của thư mục nơi lưu trữ thông tin về các tệp được tìm thấy:

Nội dung của kho lưu trữ như sau:

Bản thân kho lưu trữ được bảo vệ bằng mật khẩu (mã định danh đã tạo trước đó, cũng là tên của kho lưu trữ, được sử dụng trong khả năng này). Không giống như TwoBee, Mezzo sử dụng thuật toán đơn giản hơn để tìm kiếm và quét tệp. Ví dụ: TwoBee chỉ thực hiện thay thế dữ liệu nếu có một yêu cầu nhất định số tiền tối thiểu giao dịch:

Kiểm tra số tiền tối thiểu (500.000 ₽) trong TwoBee

Ngoài ra, TwoBee còn thu thập dữ liệu về số tiền được chuyển.

Mezzo chỉ cần xác minh “tuổi” của tệp (không được cũ hơn một tuần) và sự hiện diện của dòng 1CClientBankTrao đổi lúc bắt đầu của nó:

Sau khi hoàn tất tìm kiếm, dữ liệu sẽ được đóng gói vào kho lưu trữ có mật khẩu và gửi đến máy chủ.

Gửi dữ liệu

Cấu trúc yêu cầu và phản hồi từ máy chủ Mezzo C&C

Mô-đun thay thế

Bây giờ chúng ta hãy tìm hiểu cách hoạt động của mô-đun Mezzo, nhiệm vụ của nó là thay thế các tệp chương trình kế toán.

Trojan tạo ra ba luồng thực thi. Đầu tiên ( thùng rác_thread trong ảnh chụp màn hình bên dưới) chịu trách nhiệm chống lại phần mềm bảo mật - Trojan phân bổ các vùng bộ nhớ khổng lồ trong một vòng lặp và lấp đầy chúng bằng dữ liệu tùy ý: trong “hộp cát” của một số giải pháp bảo mật, việc xử lý phân bổ bộ nhớ và kiểm soát rò rỉ của nó khác nhau khỏi cơ chế của hệ điều hành “thực” và những yêu cầu như vậy có thể vi phạm công việc của họ. Máy thứ hai đăng ký máy tính “mới bị nhiễm” trên máy chủ chỉ huy và điều khiển. Thứ ba là cần thiết để thăm dò máy chủ C&C và truyền thông tin về hệ thống bị nhiễm.

Bắt đầu thủ tục Mezzo chính

Công nghệ được triển khai tại rác _chủ đề

Mezzo tạo một ID duy nhất và gửi nó đến máy chủ. Trong trường hợp nhận được lệnh có mã 0x46 từ máy chủ ( Fđầu tiên ) , thông tin về hệ thống bị nhiễm sẽ được truyền đi. Rõ ràng, lệnh này có được khi bạn truy cập lần đầu tiên vào mã định danh đó.

Thủ tục get_tasks sẽ xóa nội dung của thư mục %TEMP% khi nhận mã 0x34 ( 4 ).

Sau đó, Trojan sẽ bắt đầu tìm kiếm trong từng phân vùng logic của hệ thống tệp để tìm các tệp đáp ứng các tiêu chí sau:

• Được tạo cách đây chưa đầy hai phút;
• Ở đầu tập tin có dòng 1CClientBankExchange;
• Phần mở rộng - .txt.

File kết quả được sao chép vào địa chỉ “%TEMP%\ .txt" và được truyền đến một máy chủ từ xa, từ đó sẽ nhận được tệp để thay thế. Tập tin này sẽ được lưu dưới dạng "%TEMP%\ .txt". Sau đó, chương trình sẽ đợi người dùng gọi các hộp thoại chương trình nhất định.

Hộp thoại Tìm kiếm

Điều này là cần thiết để thay thế tập tin ngay tại thời điểm chuyển dữ liệu từ hệ thống kế toán sang ngân hàng. Quá trình chờ đợi kéo dài 5 phút và nếu cửa sổ được yêu cầu không mở, Trojan sẽ chỉ thay thế tệp bằng một tệp giả sau khi cố gắng dừng quá trình lần đầu tiên. 1cv8c.exe bằng cách sử dụng Đình chỉ chủ đề. Sau khi thay thế hoàn tất, Trojan sẽ xóa nội dung của thư mục MỚI với tập tin nhận được từ máy chủ chỉ huy và điều khiển.

Dấu vết của CryptoShuffler

Tuy nhiên, cuộc điều tra chưa kết thúc ở đó. Cách đây một thời gian, các nhà phân tích của chúng tôi và phần mềm độc hại đã tải nó vào hệ thống. Hóa ra là AlinaBot (đừng nhầm với AlinaPOS), được đặt tên như vậy vì tiêu đề trong cửa sổ xác thực máy chủ C&C:

Theo nhiều cách, trình tải xuống phổ biến này (chúng ta sẽ xem xét các tính năng của nó ở phần tiếp theo) có liên quan đến Mezzo.

Đầu tiên, chúng ta hãy điểm qua các kết nối “yếu”:

Bây giờ về bằng chứng “mạnh mẽ”. Đầu tiên là một cách để tạo ra một mã định danh duy nhất. Mã được khôi phục của Mezzo, AlinaBot và các mô-đun của nó khớp với dòng cuối cùng:

Bằng chứng thứ hai là các mô-đun AlinaBot lưu trữ dữ liệu bị đánh cắp theo cách tương tự (ngoại trừ việc mã định danh không phải lúc nào cũng được sử dụng làm mật khẩu):

Cấu trúc thư mục làm việc của mô-đun AlinaBot

Ngay cả việc kiểm tra mã hời hợt cũng cho thấy phong cách của tác giả Mezzo - siêng năng sao chép một số lượng lớn các đoạn mã.

Chức năng của AlinaBot

Có tổng cộng sáu lệnh từ máy chủ (và “0” biểu thị không có lệnh) mà AlinaBot nhận được để phản hồi yêu cầu khởi tạo dưới dạng một chuỗi ký tự:

Điều quan trọng là các lệnh được xử lý "hai lệnh cùng một lúc" - trong trường hợp này sẽ có hai chu kỳ kiểm tra các giá trị đầu vào. Theo đó, các đơn vị ở vị trí chẵn và ở vị trí lẻ sẽ khác nhau về mục đích. Ví dụ: lệnh “2” ở vị trí lẻ sẽ tải tệp lên một địa chỉ cố định, trong khi ở vị trí chẵn, nó nhận được liên kết tải xuống.

Đội F (chẵn) biểu thị yêu cầu tải xuống thông tin hệ thống và bao gồm các trường sau:

• Mã định danh duy nhất;
• Phiên bản hệ điều hành;
• Tên tài khoản;
• Tên máy tính;
• Địa chỉ IP máy tính.

Đội 1 (lẻ) tải một tập tin lên địa chỉ của biểu mẫu /plugins/downloaded/load_file.exe và khởi chạy nó :

Đội 1 (chẵn) khởi động lại phần chính của AlinaBot.

Đội 2 (lẻ) cũng tải xuống các tệp từ máy chủ C&C như lệnh 1, tuy nhiên ở một dòng khác /plugins/downloaded/load_file_gl.exe và máy chủ của nó không bao giờ hiển thị hoạt động trong quá trình nghiên cứu.

2 (chẵn) nhận từ máy chủ địa chỉ mà tệp cần được tải xuống, sau đó tải xuống và chạy tệp đó.

Thông thường, lệnh này được sử dụng để tải xuống phần mềm độc hại từ dòng Trojan-Banker.Win32.CryptoShuffler

Đội 3 (chẵn) chấm dứt việc thực thi máy chủ ứng dụng bảng điều khiển.

Khối hàng

Chúng tôi có thể lấy được các tệp đã tải lên; chúng có thể được chia thành hai loại. Cái đầu tiên “chiếm đoạt” ví tiền điện tử và mật khẩu trình duyệt. Việc đánh cắp ví được thực hiện bằng cách chỉ cần tìm kiếm các tệp có tên wallet.dat trong hệ thống bị nhiễm. Việc mất mật khẩu chỉ ảnh hưởng đến người dùng Chrome và Opera; cả hai trình duyệt đều lưu trữ dữ liệu tài khoản theo cách tương tự - dưới dạng cơ sở dữ liệu SQLLite tại địa chỉ như " C:\Người dùng\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\Dữ liệu người dùng\Mặc định". Plugin mở các tệp này bằng thư viện SQLLite và cố gắng giải mã dữ liệu bằng “mật khẩu trống”, trong trường hợp người dùng chưa chỉ định mật khẩu để xác thực. Phần mềm độc hại gửi dữ liệu nhận được đến máy chủ trong kho lưu trữ ZIP bằng mật khẩu 1 q 2w 3e 4r .

Đã khôi phục mã để trích xuất dữ liệu mật khẩu từ Chrome

Các tập tin được “lưu trữ” theo cách tương tự như Mezzo.

Một điều đáng chú ý cuối cùng về mô-đun này: tác giả đã chuyển từ sử dụng Curl sang mượn mã của một Anasazi: dòng đặc trưng nào đó WARPCRYPT hiện diện trong cả hai trường hợp. Ngoài ra, chúng tôi đã phát hiện ra mã nguồn Anasazi trên Pastebin.

So sánh mã khôi phục của mô-đun AlinaBOT và mã nguồn Anasazi trên Pastebin

File tải lên thứ hai có khả năng điều khiển từ xa máy tính bị nhiễm virus. Bản thân mô-đun này không được quan tâm đặc biệt, là một cửa hậu khá bình thường, thực thi các lệnh sau:

• 0x403: Khởi chạy trình quản lý tác vụ
• 0x406: Chấm dứt quá trình Chrome
• 0x40F: Khởi chạy dòng lệnh
• 0x413: Đệm dữ liệu nhất định và gửi nó đến cửa sổ được chỉ định

MD 5

Mô-đun thu thập thông tin:
Mô-đun thay thế: 1083439FAE49A745F007705281952CD9

AlinaBot

E2E7927C279C3740EA9821595FA2AA23

Các chuyên gia của Kaspersky Lab đã phát hiện ra một mối đe dọa tài chính mới – phần mềm độc hại Mezzo, có khả năng thay thế các chi tiết trong các tệp được trao đổi giữa hệ thống kế toán và ngân hàng. Hiện tại, phần mềm độc hại chỉ gửi thông tin được thu thập từ máy tính bị nhiễm đến máy chủ cho những kẻ tấn công và theo các nhà phân tích, điều này có thể cho thấy những người tạo ra Trojan đang chuẩn bị cho một chiến dịch trong tương lai. Số nạn nhân của Mezzo vẫn chỉ là số ít, phần lớn các ca lây nhiễm được ghi nhận ở Nga.

Mezzo được phân phối bằng cách sử dụng trình tải xuống của bên thứ ba. Sau khi tiếp cận thiết bị, Trojan tạo một mã định danh duy nhất cho máy tính bị nhiễm; dựa vào đó, một thư mục được tạo trên máy chủ của kẻ tấn công để lưu trữ tất cả các tệp được tìm thấy trên nạn nhân. Mỗi thư mục này đều được bảo vệ bằng mật khẩu.

Mối quan tâm chính của Mezzo là các tệp văn bản từ phần mềm kế toán phổ biến được tạo ra chưa đầy hai phút trước. Chức năng của Trojan giả định rằng sau khi phát hiện những tài liệu như vậy, nó sẽ chờ xem liệu hộp thoại có mở ra để trao đổi thông tin giữa hệ thống kế toán và ngân hàng hay không. Nếu điều này xảy ra, phần mềm độc hại có thể thay thế chi tiết tài khoản trong tệp ngay tại thời điểm truyền dữ liệu. Ngược lại (nếu hộp thoại không bao giờ mở), Mezzo sẽ thay thế toàn bộ tệp bằng một tệp giả.

Ngoài ra, phân tích mã Mezzo cho thấy phần mềm độc hại có thể liên quan đến một Trojan giật gân khác đang săn lùng tiền điện tử, CryptoShuffler. Các chuyên gia của Kaspersky Lab nhận thấy mã của Mezzo và chương trình AlinaBot tải xuống CryptoShuffler gần như giống hệt nhau đến dòng cuối cùng. Rõ ràng, những kẻ viết virus đứng đằng sau cả hai phần mềm độc hại, điều đó có nghĩa là lợi ích của chúng cũng có thể ảnh hưởng đến ví tiền điện tử của người dùng.

“Đây không phải là lần đầu tiên chúng tôi gặp phải phần mềm kế toán bị phần mềm độc hại tấn công. Do đó, với sự trợ giúp của Trojan TwoBee tương tự mà chúng tôi phát hiện khoảng một năm trước, những kẻ tấn công đã đánh cắp được hơn 200 triệu rúp từ các tổ chức của Nga”, Sergey Yunakovsky, chuyên gia chống vi-rút tại Kaspersky Lab, nhớ lại. “Tuy nhiên, Mezzo khác với “người anh em” của nó. Một mặt, nó sử dụng thuật toán đơn giản hơn để tìm kiếm và kiểm tra các tệp quan tâm. Nhưng có vẻ như nó không chỉ giới hạn ở hệ thống kế toán. Và điều này rất phù hợp với tinh thần của những người viết virus hiện đại, những người đang ngày càng triển khai nhiều mô-đun và chức năng khác nhau trong một phần mềm độc hại duy nhất.”

Bạn có thể tìm hiểu thêm về khả năng của Mezzo Trojan từ báo cáo phân tích của Kaspersky Lab:

Phần mềm độc hại tấn công phần mềm kế toán không phải là hiếm. Chỉ cần nhớ rằng khoảng một năm trước, các nhà phân tích của Kaspersky Lab đã báo cáo về chiến dịch độc hại TwoBee, trong đó bọn tội phạm đã đánh cắp hơn 200.000.000 rúp chỉ bằng cách chỉnh sửa tệp văn bản của lệnh thanh toán.

Hiện các nhà nghiên cứu của Kaspersky Lab đang báo cáo một mối đe dọa mới tương tự có tên Mezzo. Không giống như phần mềm độc hại TwoBee, thay thế các chi tiết trong các tệp trao đổi giữa hệ thống kế toán và ngân hàng, Mezzo cho đến nay chỉ gửi thông tin được thu thập trong hệ thống bị nhiễm đến máy chủ của kẻ tấn công. Các nhà nghiên cứu tin rằng bằng cách này, các nhà phát triển phần mềm độc hại có thể chuẩn bị cho một chiến dịch trong tương lai nhưng hiện đang ở giai đoạn thu thập thông tin về các mục tiêu.

Cho đến nay, số nạn nhân của Mezzo chỉ là số ít và hầu hết các ca nhiễm bệnh đều được ghi nhận ở Nga.

Các nhà nghiên cứu viết rằng phần mềm độc hại được tạo bằng các chương trình tải xuống của bên thứ ba. Sau khi xâm nhập vào hệ thống, Trojan gán một mã định danh duy nhất cho máy bị nhiễm, dựa vào đó một thư mục được tạo trên máy chủ của kẻ tấn công để lưu trữ tất cả các tệp được tìm thấy trên nạn nhân. Phần mềm độc hại quan tâm đến “tuổi” của các tệp (không quá một tuần) và sự hiện diện của dòng 1CClientBankExchange ở đầu.

Như đã đề cập ở trên, mối quan tâm chính của Mezzo là các tệp văn bản của phần mềm kế toán phổ biến được tạo cách đây chưa đầy hai phút. Chức năng của Trojan giả định rằng sau khi phát hiện những tài liệu như vậy, nó sẽ chờ xem liệu hộp thoại có mở ra để trao đổi thông tin giữa hệ thống kế toán và ngân hàng hay không. Nếu điều này xảy ra, Mezzo có thể thay đổi chi tiết tài khoản trong hồ sơ ngay tại thời điểm truyền dữ liệu. Ngược lại (nếu hộp thoại không được mở sau năm phút), Mezzo sẽ thay thế toàn bộ tệp bằng một tệp giả.

Đang chờ hộp thoại

Ngoài ra, phân tích mã Mezzo cho thấy phần mềm độc hại có thể liên quan đến một Trojan nổi tiếng khác chuyên săn lùng tiền điện tử, . Các nhà nghiên cứu phát hiện ra rằng mã nguồn của Mezzo và phần mềm độc hại AlinaBot đã tải CryptoShuffler vào hệ thống gần như giống hệt nhau. Rõ ràng, cùng một người đứng đằng sau sự phát triển của cả hai mối đe dọa, điều đó có nghĩa là họ không chỉ quan tâm đến phần mềm kế toán mà còn quan tâm đến ví tiền điện tử của người dùng.

“Đây không phải là lần đầu tiên chúng tôi gặp phải phần mềm kế toán bị phần mềm độc hại tấn công. Do đó, với sự trợ giúp của Trojan TwoBee tương tự mà chúng tôi phát hiện khoảng một năm trước, những kẻ tấn công đã đánh cắp được hơn 200 triệu rúp từ các tổ chức của Nga”, Sergey Yunakovsky, chuyên gia chống vi-rút tại Kaspersky Lab, nhớ lại. “Tuy nhiên, Mezzo khác với “người anh em” của nó. Một mặt, nó sử dụng thuật toán đơn giản hơn để tìm kiếm và kiểm tra các tệp quan tâm. Nhưng có vẻ như nó không chỉ giới hạn ở hệ thống kế toán. Và điều này rất phù hợp với tinh thần của những người viết virus hiện đại, những người đang ngày càng triển khai nhiều mô-đun và chức năng khác nhau trong một phần mềm độc hại duy nhất.”

Kaspersky Lab đã tìm thấy một Trojan mới săn lùng tiền thật và tiền điện tử

Các chuyên gia của Kaspersky Lab đã phát hiện ra một mối đe dọa tài chính mới - Trojan Mezzo, có khả năng thay thế các chi tiết trong các tệp được trao đổi giữa hệ thống kế toán và ngân hàng.

Các chuyên gia của Kaspersky Lab đã phát hiện ra một mối đe dọa tài chính mới - Trojan Mezzo, có khả năng thay thế các chi tiết trong các tệp được trao đổi giữa hệ thống kế toán và ngân hàng. Hiện tại, phần mềm độc hại chỉ gửi thông tin được thu thập từ máy tính bị nhiễm đến máy chủ cho những kẻ tấn công và theo các nhà phân tích, điều này có thể cho thấy những người tạo ra Trojan đang chuẩn bị cho một chiến dịch trong tương lai. Số nạn nhân của Mezzo vẫn chỉ là số ít, phần lớn các ca lây nhiễm được ghi nhận ở Nga.

Mezzo được phân phối bằng cách sử dụng trình tải xuống của bên thứ ba. Sau khi tiếp cận thiết bị, Trojan tạo một mã định danh duy nhất cho máy tính bị nhiễm; dựa vào đó, một thư mục được tạo trên máy chủ của kẻ tấn công để lưu trữ tất cả các tệp được tìm thấy trên nạn nhân. Mỗi thư mục này đều được bảo vệ bằng mật khẩu.

Mối quan tâm chính của Mezzo là các tệp văn bản từ phần mềm kế toán phổ biến được tạo ra chưa đầy hai phút trước. Chức năng của Trojan giả định rằng sau khi phát hiện những tài liệu như vậy, nó sẽ chờ xem liệu hộp thoại có mở ra để trao đổi thông tin giữa hệ thống kế toán và ngân hàng hay không. Nếu điều này xảy ra, phần mềm độc hại có thể thay thế chi tiết tài khoản trong tệp ngay tại thời điểm truyền dữ liệu. Ngược lại (nếu hộp thoại không bao giờ mở), Mezzo sẽ thay thế toàn bộ tệp bằng một tệp giả.

Ngoài ra, phân tích mã Mezzo cho thấy phần mềm độc hại có thể liên quan đến một Trojan giật gân khác đang săn lùng tiền điện tử, CryptoShuffler. Các chuyên gia của Kaspersky Lab nhận thấy mã của Mezzo và chương trình AlinaBot tải xuống CryptoShuffler gần như giống hệt nhau đến dòng cuối cùng. Rõ ràng, những kẻ viết virus đứng đằng sau cả hai phần mềm độc hại, điều đó có nghĩa là lợi ích của chúng cũng có thể ảnh hưởng đến ví tiền điện tử của người dùng.

“Đây không phải là lần đầu tiên chúng tôi gặp phải phần mềm kế toán bị phần mềm độc hại tấn công. Do đó, với sự trợ giúp của Trojan TwoBee tương tự mà chúng tôi phát hiện khoảng một năm trước, những kẻ tấn công đã đánh cắp được hơn 200 triệu rúp từ các tổ chức của Nga”, Sergey Yunakovsky, chuyên gia chống vi-rút tại Kaspersky Lab, nhớ lại. “Tuy nhiên, Mezzo khác với “người anh em” của nó. Một mặt, nó sử dụng thuật toán đơn giản hơn để tìm kiếm và kiểm tra các tệp quan tâm. Nhưng có vẻ như nó không chỉ giới hạn ở hệ thống kế toán. Và điều này rất phù hợp với tinh thần của những người viết virus hiện đại, những người đang ngày càng triển khai nhiều mô-đun và chức năng khác nhau trong một phần mềm độc hại duy nhất.”