Threat Database Banking Trojan Товарач ZE

Товарач ZE

ZE Loader е друг заплашителен зловреден софтуер, който се опитва да получи банкова информация от своите жертви чрез атаки с наслагване.Въпреки това, за разлика от типичните банкови троянски коне, ZE товарачът установява връзка отзад, използва различни техники за стелт, за да остане скрит, и съхранява постоянни активи на компрометирани устройства.

Заплахата се разпространява като част от легитимен софтуерен продукт. Когато нищо неподозиращият потребител стартира приложението, той задейства отвличане на DLL, което зарежда повредена DLL, за да замени оригиналния файл с име „DVDSetting.dll“.

Установяване на нейното присъствие

За да избегне откриването от решения срещу злонамерен софтуер, ZE Loader променя имената и разширенията на своите файлове. Той също така манипулира определени настройки за защита, за да отвори безпрепятствен достъп на задната врата до устройството. Всъщност това дава възможност на участниците в заплахата да установят множество RDP (протокол за отдалечен работен плот) връзки. Например, той превключва следните настройки на „true:“

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnection

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ Licensing Core \ EnableConCurrentSessions

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ AllowMultipuleTSSession

Освен това заплахата добавя нов потребителски акаунт към настройките на локалната мрежа. Профилът на нарушителя е наречен „Administart0r“, а паролата му е „123mudar“. Профилът също се инжектира в локалната група „administradores“.

Събиране на данни

След като всички подготовки са завършени, ZE Loader започва да наблюдава активността на жертвата на устройството. Зловредният софтуер изчаква подходяща онлайн банкова сесия да бъде удостоверена или потребителят да получи достъп до целево банково приложение на работния плот. За да постигне целта си, ZE Loader следи всички работещи процеси и убива необходимите.

За да създаде илюзията, че законното приложение всъщност се е отворило, зловредният софтуер показва нов прозорец, който съдържа изображения на приложения, съответстващи на целевата банка. Тези изображения се съхраняват на компрометираното устройство в директорията /JDK_SDK и се декриптират и зареждат, когато е необходимо. Информацията, въведена във фалшивия прозорец, след това се получава от участниците в заплахата, които могат да я използват за финансови измами или други незаконни дейности.

Тенденция

Най-гледан

Зареждане...