Експерти «Лабораторії Касперського» виявили нову фінансову загрозу – троянець Mezzo, здатний замінювати реквізити у файлах обміну між бухгалтерськими та банківськими системами. На даний момент зловред просто надсилає зібрану з зараженого комп'ютера інформацію на сервер зловмисникам, і, на думку аналітиків, це може говорити про те, що творці троянця готуються до майбутньої кампанії. Кількість жертв Mezzo поки що обчислюється одиницями.

Поширюється Mezzo за допомогою сторонніх програм-завантажувачів. Після влучення на пристрій троянець створює унікальний ідентифікатор для зараженого комп'ютера – на його основі на сервері зловмисників створюється папка для зберігання всіх знайдених у жертви файлів. Кожна з цих папок захищена паролем.

Основний інтерес для Mezzo представляють текстові файли популярного бухгалтерського програмного забезпечення, створені менше двох хвилин тому. Функціонал троянця передбачає, що після виявлення таких документів він чекає, чи буде відкриття діалогового вікна для обміну інформацій між бухгалтерською системою та банком. Якщо це станеться, зловред може замінювати реквізити рахунку у файлі безпосередньо в момент передачі. В іншому випадку (якщо діалогове вікно так і не буде відкрито), Mezzo підміняє весь файл підробленим.

Крім того, аналіз коду Mezzo показав, що зловред може бути пов'язаний з іншим гучним троянцем, що полює за криптовалютами, - CryptoShuffler. Експерти «Лабораторії Касперського» виявили, що код Mezzo та програми AlinaBot, що здійснює завантаження CryptoShuffler, ідентичні практично до останнього рядка. Очевидно, за обома зловредами стоять одні й самі вірусописувачі, отже, їх інтерес може також зачіпати криптогаманці користувачів.

Інші новини