На компьютеры пользователей вредоносное ПО попадает благодаря другим программам-загрузчикам. После активации на устройстве вирус генерирует уникальный идентификатор для каждого ПК, на основе которого на сервере мошенников создается папка для сбережения всех обнаруженных у жертвы важных файлов. Директория, где хранятся потенциально полезные документы, защищается паролем.
Главной целью для Mezzo является обнаружение текстовых файлов бухгалтерского программного обеспечения, которые существуют на компьютере всего несколько минут. Идентифицировав их, вирус занимает выжидательную позицию и наблюдает за открытием диалогового окна для обмена платежными данными между бухгалтерской и банковской системами. Если это происходит, вредоносное ПО мгновенно подменяет реквизиты счета на свои. Если диалоговое окно так и не появляется, вирус подменяет документ целиком.
Помимо этого, анализ программного кода Mezzo показал, что он имеет много общего с другим нашумевшим в сети вирусом, охотящимся за цифровыми валютами, CryptoShuffler. Команда «Лаборатории Касперского» заявила, что структура вредоносного ПО Mezzo практически идентична строению загрузчика AlinaBot, помогающему CryptoShuffler попасть на ПК пользователей. Логика подсказывает, что за обоими вирусами стоят одни и те же программисты-мошенники.
В данный момент Mezzo только собирает платежные данные жертв и передает своим владельцам. По мнению экспертов, это говорит о подготовке крупной кампании. Число пострадавших от вредоносного ПО пока невелико, но большинство таких случаев зарегистрировано в РФ.