Обнаружен новый троян, подменяющий реквизиты в файлах обмена данными между 1С и банком. В результате платежи уходят на счета злоумышленников
В настоящее время вредоносная программа Mezzo работает в режиме сбора данных, отправляя информацию о готовящихся платежах на сервер злоумышленников. Однако в коде программы присутствует функционал, позволяющий похищать денежные средства путем подмены реквизитов в платежных поручениях, отправляемых в банк. При этом, отследить такой тип атаки при большом количестве платежей достаточно проблематично, потому что в самой 1С все реквизиты остаются правильными, а в системах банк-клиент отправка платежей обычно производится в пакетном режиме, что делает обнаружение подмены реквизитов практически невозможным.
Как показывает исследование, проведенное специалистами Лаборатории Касперского, исходный код Mezzo идентичен коду ранее обнаруженного трояна CryptoShuffler, который был нацелен на похищение популярных криптовалют. Таким образом, в дальнейшем этот вирус может быть использован для проведения «двойных» атак, нацеленных как на банковские счета, так и на криптокошельки.
(1).png)