Вирус Mezzo крадет деньги у пользователей программ 1C

Антивирусная лаборатория Касперского обнаружила новый троян, который собирает данные о бухгалтерских реквизитах пользователей. Принцип работы данного трояна следующий: после попадания на компьютер жертвы он создает уникальный идентификатор устройства, после чего отправляет информацию об этом на управляющий сервер. В последствии вирус Mezzo следит за всеми приложениями установленными на компьютере. Особенно внимание он уделяет приложению 1C Предприятие. Текстовые файлы из данной программы, которые содержат банковские реквизиты вирус копирует на сервер своего владельца.

В случае, когда пользователь одновременно пользуется банковской программой, например для пересылки средств, то вирус Mezzo может подменять в них реквизиты на свои. В этом случае средства могут уйти на другие счета.

Именно этот функционал вируса Mezzo заинтересовал аналитиков. Подмена адреса отправителя полностью скопирована с функционала другого трояна – CryptoShuffler, который похищал криптовалюту.

Как правило, адрес любого криптокошелька представляет из себя бессмысленный набор символов длиной от 30 знаков и выше. В момент, когда жертва копирует адрес кошелька в буфер обмена, чтобы вставить его в окно клиента, например для пересылки средств, зловред меняет адрес на свой. После пересылки возврат неправильно отправленных средств сделать невозможно.

Пока, вирус Mezzo мало себя проявил, и занимается только сбором данных. Специалисты прогнозируют, что это делается для подготовки к атаке в дальнейшем.