ИБ-эксперты из «Лаборатории Касперского» выявили новую банковскую троянскую программу Mezzo.
Кау утверждают исследователи, сейчас программа лишь осуществляет сбор информации, а затем отправку текстовых файлов на сервер хакеров. Это косвенно свидетельствует о том, что авторы вредоносной программы ведут подготовку к киберкомпании и в настоящее время занимаются сбором данных о целях.
Распространение Mezzo осуществляется посредством сторонних загрузчиков. После проникновения на устройство троянская программа генерирует для него уникальный идентификатор, на основе которого на хакерском сервере создается папка, защищенная паролем.
Задачей Mezzo является обнаружение на устройстве жертвы текстовых файлов популярной бухгалтерской программы, существующих менее двух минут назад. После выявления подобных документов троянская программа ожидает открытия диалогового окна между бухгалтерской системой и банком. После программа осуществляет подмену реквизитов счета в файле непосредственно во время передачи данных. Если диалоговое окно не откроется, вредоносная программа осуществит замену всего файла на подделку.
Специалисты «Лаборатории Касперского» выявили вероятную связь Mezzo с вредоносной программой CryptoShuffler, предназначенной для кражи криптовалюты из пользовательских кошельков. Эксперты утверждают, что коды Mezzo и программы AlinaBot, являющейся загрузчиком CryptoShuffler, зачастую полностью совпадают. Это указывает на то, что обе программы созданы одним и тем же разработчиком.
Специалисты выявлены единичные факты использования Mezzo. Большая часть зараженных пользователей являются россиянами.
