ZE Loader

ZE Loader er en anden truende malware, der forsøger at skaffe bankoplysninger fra sine ofre via overlay -angreb.I modsætning til de typiske bank -trojanere etablerer ZE -læsseren imidlertid en bagdørsforbindelse, anvender forskellige stealth -teknikker til at forblive skjult og gemmer permanente aktiver på kompromitterede enheder.

Truslen distribueres som en del af et legitimt softwareprodukt. Når den intetanende bruger starter programmet, udløser det en DLL -kapring, der indlæser en beskadiget DLL for at erstatte den originale fil med navnet 'DVDSetting.dll.'

Etablering af dets tilstedeværelse

For at undgå registrering af anti-malware-løsninger ændrer ZE Loader navnene og udvidelserne på sine filer. Det manipulerer også visse sikkerhedsindstillinger for at åbne uhindret bagdørsadgang til enheden. Faktisk gør det det muligt for trusselsaktørerne at etablere flere RDP -forbindelser (Remote Desktop Protocol). For eksempel skifter den følgende indstillinger til 'true:'

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnection

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ Licensing Core \ EnableConCurrentSessions

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ AllowMultipuleTSSession

Desuden tilføjer truslen en ny brugerkonto til lokalnetværksindstillingerne. Indbrudskontoen hedder 'Administart0r', og dens adgangskode er '123mudar'. Kontoen injiceres også i den lokale gruppe 'administradores'.

Indsamling af data

Når alle forberedelserne er afsluttet, begynder ZE Loader at overvåge offerets aktivitet på enheden. Malwaren venter på, at en passende online banksession godkendes eller til brugeren får adgang til en målrettet bankapplikation på skrivebordet. For at nå sit mål overvåger ZE Loader alle løbende processer og dræber de nødvendige.

For at skabe en illusion om, at den legitime applikation faktisk åbnede, viser malware et nyt vindue, der indeholder applikationsbilleder svarende til den målrettede bank. Disse billeder gemmes på den kompromitterede enhed i biblioteket /JDK_SDK og dekrypteres og indlæses efter behov. De oplysninger, der indtastes i det falske vindue, indhentes derefter af trusselsaktørerne, der kan udnytte dem til økonomisk svindel eller andre ulovlige aktiviteter.