Обнаружен новый опасный криптовирус

26 января 2018 г.

Обнаружен новый опасный криптовирус

Исследователи «Лаборатории Касперского» сообщили о появлении нового вируса Mezzo. На данный момент, он занимается только сбором данных с заражённых компьютеров, однако, по мнению сотрудников компании, этот этап является лишь подготовкой к масштабной атаке.

Mezzo работает следующим образом:

  • При попадании на компьютер с помощью сторонних загрузочных программ, троян создает для него уникальный ID;
  • Далее в системе создаётся папка, названная этим идентификатором и содержащая в себе информацию о заражённых файлах;
  • Файлы данных упаковываются в защищённый паролем архив;
  • После, выполняется отправка архива злоумышленникам.

Эксперты отметили, что большинство компьютеров, заражённых новым вирусом, находятся в России, однако добавили, что общее количество охваченных устройств пока ещё крайне мало.

Первоначально предполагалось, что главными объектами интереса для Mezzo являются текстовые файлы, непосредственно связанные с бухгалтерскими программными продуктами. Исследователи узнали, что вредоносная программа способна заменять реквизиты счёта в документах во время передачи их от IT-системы к банку. Однако при подробном анализе кода вируса выяснилось, что Mezzo имеет связь с трояном AlinaBot. Эти два вируса оказались предельно похожи по своей структуре, и, можно заявить, что, с большой долей вероятности, за обе программы ответственна одна команда. Кроме того, в результате тщательной проверки кода обоих вирусов, была найдена ещё одна троянская программа – CryptoShuffler.

CryptoShuffler представляет собой довольно простую программу, которая выполняет анализ данных, попадающих в буфер обмена. При обнаружении программой скопированного адреса криптокошелька, она производит его замену. В результате, деньги, сумму которых указала жертва при «переводе», достаются преступникам.

«Мы далеко не первый раз сталкиваемся с зловредами, атакующими бухгалтерское ПО. Так, с помощью обнаруженного нами около года назад аналогичного трояна TwoBee, злоумышленникам удалось похитить более 200 миллионов рублей у российских организаций. Однако Mezzo отличается от своего «собрата». С одной стороны, он использует более простой алгоритм поиска и проверки интересующих его файлов. Но при этом, вполне вероятно, что одними лишь бухгалтерскими системами он не ограничивается. И это очень в духе современных вирусописателей, которые все чаще реализуют множество модулей и различных функций в рамках одного зловреда», - отметил эксперт «Лаборатории Касперского» Сергей Юнаковский.

Комментарии

Никто ещё не оставил комментариев. Желаете быть первым?