Также специалисты не исключают версии того, что обнаруженный вирус связан с CryptoShuffler, посредством которого злоумышленники крадут криптовалюту. После обнаружения таковых документов троян ожидает, последует ли открытие диалогового окна для обмена информацией между бухгалтерской системой и банком. По мнению экспертов, таким образом, создатели троянца готовятся к будущей кампании.
Троян распространяется с помощью сторонних программ-загрузчиков, после этого заражает ПК, идентифицирует его и передаёт всю информацию на сервер. Тогда на сервере хакеров создаётся папка для хранения файлов, которые располагаются на заражённом компьютере. Ежели через пару минут после создания файла работник откроет диалоговое окно для пересылки информации в банк, троян подменит реквизиты либо на все 100% подменит файл на поддельный. Ежели это случится, зловред может подменять реквизиты счета в файле непосредственно в момент передачи данных. В другом случае вирус меняет весь файл. Пока жертвами Mezzo стали единицы пользователей, и практически все они из Российской Федерации. Ежели за создателями вируса стоят одни и те же люди, то в их интересы могут входить и криптокошельки пользователей. Довольно припомнить, что около года назад эксперты «Лаборатории Касперского» повествовали о вредной кампании TwoBee, в процессе которой преступникам удалось похитить не менее 200 000 000 руб., попросту редактируя текстовые файлы платежных поручений.
В компании добавили, что не в первый раз сталкиваются с вирусами, атакующими бухгалтерское ПО. — Однако Mezzo отличается от своего «собрата».
По утверждению антивирусного профессионала «Лаборатории Касперского» Сергея Юнаковского одними бухгалтерскими программами этот вирус не ограничивается. «И это очень в духе актуальных на сегодняшний день вирусописателей, которые все чаще реализуют большое количество модулей и разных функций в рамках одного зловреда».