Обнаружен новый банковский троян Mezzo

Исследователи безопасности из «Лаборатории Касперского» обнаружили новый банковский троян Mezzo, в частности две его модификации. Одна из них собирает информацию об имеющихся на инфицированном устройстве файлах бухгалтерии, а вторая способна подменивать реквизиты в файлах обмена между бухгалтерскими и банковскими системами.

По словам исследователей, в настоящее время программа лишь собирает данные, после чего отправляет текстовые файлы с информацией на сервер злоумышленников, не производя с ними никаких манипуляций. Это может говорить о том, что авторы вредоноса готовятся к будущей компании и в данный момент находятся на этапе сбора информации о целях.

Mezzo распространяется с помощью сторонних программ-загрузчиков. Инфицировав устройство, троян создает для него уникальный идентификатор, на основе которого на сервере злоумышленников создается защищенная паролем папка.

Вредоносное ПО предназначено для обнаружения на компьютере жертвы текстовых файлов популярного бухгалтерского ПО, созданных менее двух минут назад. При выявлении подобных документов троян ждет открытия диалогового окна между бухгалтерской системой и банком, после чего программа подменяет реквизиты счета в файле непосредственно в ходе передачи данных. Если диалоговое окно не будет открыто, вредонос заменит весь файл на поддельный.

Эксперты ЛК также выявили возможную связь Mezzo с вредоносным ПО CryptoShuffler, предназначенным для хищения криптовалюты из кошельков пользователей. По словам специалистов, код Mezzo и программы AlinaBot, загружающей CryptoShuffler, в ряде случаев совпадают практически полностью. Это может говорить о том, что за обоими программами стоят одни и те же разработчики.

В настоящее время обнаружены единичные случаи заражения Mezzo. Большинство инфицированных пользователей зафиксировано в России.