«Лаборатория Касперского» раскрыла работу вируса
Mezzo, который незаметно собирает информацию о финансовых операциях
на компьютере и отправляет на сервер злоумышленников.
При заражении компьютера вирус
присваивает ему уникальный номер, который используется для названия папки на
сервере хакеров. В этой папке будут храниться файлы с компьютера
жертвы. Главная цель Mezzo — обнаруживать и похищать документы
бухгалтерских программ.
Он ждет
Также вирус умеет подменять
реквизиты в счетах бухгалтерской программы. Для этого он постоянно ждет, когда
пользователь откроет диалоговое окно с программой и банковской системой, и
меняет содержания полей с реквизитами. Если пользователь не открывает это окно,
то троян может заменять файл отчета целиком на поддельный. Но пока троян это не
делает, а только собирает информацию и передает на сервер. Эксперты считают,
что злоумышленники могут готовиться к массовой атаке.
Пока количество зараженных
компьютеров исчисляется единицами, но большая часть из них находится в России.
Но даже заражение компьютера в одной крупной компании может повлечь большие
потери.
Мы далеко не первый раз сталкиваемся с зловредами,
атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад
аналогичного троянца TwoBee злоумышленникам удалось похитить более 200
миллионов рублей у российских организаций
Сергей Юнаковский
эксперт
«Лаборатории Касперского»
Кража криптовалют
В коде вируса Mezzo нашли прямую
связь с программой AlinaBot, которую раньше хакеры использовали для кражи
криптовалют. Она подменяла в буфере обмена адрес кошелька пользователя на адрес
создателей вируса, и жертва случайно отправляла деньги
мошенникам. А заметить подмену сложно, потому что адрес состоит из
беспорядочного набора чисел и букв.