Новая вредоносная программа Mezzo охотится за реальными и криптовалютами. Модуль сбора информации

Вредоносы, атакующие бухгалтерское ПО, это совсем не редкость. Достаточно вспомнить, что около года назад аналитики «Лаборатории Касперского» о вредоносной кампании TwoBee, в ходе которой преступникам удалось похитить более 200 000 000 рублей, попросту редактируя текстовые файлы платежных поручений.

Теперь исследователи «Лаборатории Касперского» сообщают о новой похожей угрозе, получившей название Mezzo . В отличие от малвари TwoBee, которая подменяла реквизиты в файлах обмена между бухгалтерскими и банковскими системами, Mezzo пока просто отправляет собранную в зараженной системе информацию на сервер злоумышленников. Исследователи считают, что таким образом разработчики малвари могут готовиться к будущей кампании, а в данный момент находятся на этапе сбора информации о целях.

Пока количество жертв Mezzo исчисляется единицами, и большинство заражений было зафиксировано в России.

Исследователи пишут, что малварь с помощью сторонних программ-загрузчиков. Проникнув в систему, троян присваивает зараженной машине уникальный идентификатор, на основании которого на сервере злоумышленников создается папка для хранения всех файлов, найденных у жертвы. Вредоноса интересует «возраст» файлов (не старше недели) и наличии строчки 1CClientBankExchange в начале.

Как уже было сказано выше, основной интерес для Mezzo представляют текстовые файлы популярного бухгалтерского ПО, созданные менее двух минут назад. Функциональность трояна предполагает, что после обнаружения таких документов он ожидает, последует ли открытие диалогового окна для обмена информаций между бухгалтерской системой и банком. Если это произойдет, Mezzo может подменить реквизиты счета в файле непосредственно в момент передачи данных. В противном случае (если диалоговое окно не будет открыто через пять минут) Mezzo подменяет весь файл поддельным.

Также анализ кода Mezzo показал, что малварь может быть связана с другим известным трояном, который охотится за криптовалютами, . Исследователи обнаружили, что исходные коды Mezzo и вредоноса AlinaBot, который осуществлял загрузку CryptoShuffler в систему, практически идентичны. По всей видимости, за разработкой обеих угроз стоят одни и те же люди, а значит, их интересует не только бухгалтерское ПО, но и криптовалютные кошельки пользователей.

«Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций, – напоминает Сергей Юнаковский, антивирусный эксперт «Лаборатории Касперского». – Однако Mezzo отличается от своего “собрата”. С одной стороны, он использует более простой алгоритм поиска и проверки интересующих его файлов. Но при этом вполне вероятно, что одними лишь бухгалтерскими системами он не ограничивается. И это очень в духе современных вирусописателей, которые все чаще реализуют множество модулей и различных функций в рамках одного зловреда».

Специалисты зафиксировали, что жертвы зловреда пока немногочисленны, однако большая часть заражений происходит в России, говорится в исследовании компании, сообщает ТАСС .

Программа на данный момент только собирает необходимую информацию, что может подразумевать подготовку к кампании по хищению денежных средств, считают специалисты "Лаборатории Касперского".

Главное отличие нового троянца от других заключается в упрощенном алгоритме поиска и проверки интересующих его файлов. Кроме того, специалисты предполагают, что троянец может распространиться за пределы бухгалтерских систем.

Распространение троянца происходит с помощью сторонних программ-загрузчиков. После попадания на устройство Mezzo создает уникальный идентификационный код для зараженного компьютера, после чего на сервере злоумышленников создается папка для хранения всех найденных у жертвы файлов.

Предполагается, что Mezzo использует текстовые файлы бухгалтерского программного обеспечения, которые были созданы менее двух минут назад. Обнаружив такие документы, троянец ожидает открытия диалогового окна для обмена информацией между "1С" и банком, после чего зловред может похитить денежные средства с помощью подмены реквизитов, полагают специалисты.

"ВFM.RU" приводит комментарий эксперта в области информационной безопасности Максима Эмм : "Такого рода троянцы, которые непосредственно занимаются переводами денежных средств по другими реквизитам, нежели предполагалось владельцем системы, наиболее опасны, особенно те, которые атакуют корпоративные системы. Очевидно, что на счетах компании денег на порядки больше, чем на счетах физлиц. Для физлиц такие вирусы, троянцы, довольно давно известны. Для корпоративного применения попадаются намного реже. Это серьезная угроза, потому что "1С: Бухгалтерия" у нас установлена в очень большом количестве организаций, и механизмы внутри "1С" защиты от такого рода троянцев, такого поведения отсутствуют. Поэтому очень большие могут быть потери у компании, если этот троянец своевременно не обнаружить: деньги физически уйдут на другие счета, после этого их нужно будет очень быстро доставать. Это тоже, в принципе, возможно, то есть от того, что деньги перечислены из одного банка в другой, совершенно не значит, что их невозможно будет вернуть, если очень быстро среагировать. Но большинство людей это не делают, поэтому я бы оценил уровень угрозы как достаточно высокий по сравнению с другими троянцами, которые не приводят к непосредственному перемещению денежных средств в результате заражения компьютера".

В "Лаборатории Касперского" предполагают, что Mezzo может быть тесно связан с троянцем CryptoShuffler, который похищает криптовалюту. Согласно исследованию, код троянца и программы, которая осуществляет загрузку CryptoShuffler, практически идентичен.

Специалисты считают, что за обоими зловредами стоят одни и те же вирусописатели, а, значит, их интерес может также затрагивать криптокошельки пользователей.

При заражении компьютера вирус присваивает ему уникальный номер, который используется для названия папки на сервере хакеров. В этой папке будут храниться файлы с компьютера жертвы. Главная цель Mezzo - обнаруживать и похищать документы бухгалтерских программ.

Он ждет

Также вирус умеет подменять реквизиты в счетах бухгалтерской программы. Для этого он постоянно ждет, когда пользователь откроет диалоговое окно с программой и банковской системой, и меняет содержания полей с реквизитами. Если пользователь не открывает это окно, то троян может заменять файл отчета целиком на поддельный. Но пока троян это не делает, а только собирает информацию и передает на сервер. Эксперты считают, что злоумышленники могут готовиться к массовой атаке.

Пока количество зараженных компьютеров исчисляется единицами, но большая часть из них находится в России. Но даже заражение компьютера в одной крупной компании может повлечь большие потери.

Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного троянца TwoBee злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций

Сергей Юнаковский

эксперт «Лаборатории Касперского»

Кража криптовалют

В коде вируса Mezzo нашли прямую связь с программой AlinaBot, которую раньше хакеры использовали для кражи криптовалют. Она подменяла в буфере обмена адрес кошелька пользователя на адрес создателей вируса, и А заметить подмену сложно, потому что адрес состоит из беспорядочного набора чисел и букв.

История вопроса

Преступления в сфере информационных технологий включают в себя такие виды как несанкционированный доступ к информации и банковским счетам, распространение вредоносных вирусов, спама и противоправной информации, а также вмешательство через сети в работу систем, управляемых при помощи компьютерных технологий.
С распространением информационных технологий и увеличением количества процессов, управляемых с помощью компьютеров, подключённых к сетям, масштаб и опасность киберпереступности во всём мире возрастает. В 2010 году Генеральная ассамблея ООН назвала киберпереступность одной из главных проблем.
Кибербезопасность подразумевает технические, организационные и юридические меры по борьбе с киберпреступностью. Разрабатываются программные средства для противодействия киберпреступности, крупные компании имеют в своей структуре подразделения по кибербезопасности.
Законодательством многих стран, в ом числе Российской Федерации, установлена как административная, так и уголовная ответственность за правонарушения в сфере информационных технологий. В некоторых случаях киберпреступления могут подпадать под категорию преступлений против общественной безопасности и общественного порядка, в некоторых случаях – наказываются специальными нормами права.
Для киберпреступности характерна ситуация, когда преступник и жертва преступления находятся в разных странах, что делает необходимой международную координацию борьбы с преступлениями такого рода. В частности, 23 ноября 2001 года в Будапеште была принята Конвенция Совета Европы ETS № 185 о преступности в сфере компьютерной информации. Из-за несогласия с положением о трансграничном доступе к компьютерным системам, в настоящее время подпись России под Конвенцией отозвана.