ZE Loader
ZE लोडर एक और खतरनाक मैलवेयर है जो ओवरले हमलों के माध्यम से अपने पीड़ितों से बैंकिंग जानकारी प्राप्त करने का प्रयास करता है।हालांकि, ठेठ बैंकिंग ट्रोजन के विपरीत, ZE लोडर एक पिछले दरवाजे कनेक्शन स्थापित करता है, छिपे रहने के लिए विभिन्न चुपके तकनीकों को नियोजित करता है, और समझौता किए गए उपकरणों पर स्थायी संपत्ति संग्रहीत करता है।
खतरे को एक वैध सॉफ्टवेयर उत्पाद के हिस्से के रूप में वितरित किया जाता है। जब अनपेक्षित उपयोगकर्ता एप्लिकेशन लॉन्च करता है, तो यह एक डीएलएल अपहरण को ट्रिगर करता है जो एक दूषित डीएलएल को 'DVDSetting.dll' नाम की मूल फ़ाइल को बदलने के लिए लोड करता है।
अपनी उपस्थिति स्थापित करना
एंटी-मैलवेयर सॉल्यूशंस से डिटेक्शन से बचने के लिए, ZE लोडर अपनी फाइलों के नाम और एक्सटेंशन को बदल देता है। यह डिवाइस में अबाधित पिछले दरवाजे तक पहुंच खोलने के लिए कुछ सुरक्षा सेटिंग्स में हेरफेर भी करता है। वास्तव में, यह खतरे के अभिनेताओं के लिए कई आरडीपी (रिमोट डेस्कटॉप प्रोटोकॉल) कनेक्शन स्थापित करना संभव बनाता है। उदाहरण के लिए, यह निम्न सेटिंग्स को 'सत्य:' पर स्विच करता है
HKLM\System\CurrentControlSet \Control\टर्मिनल सर्वर\fDenyTSConnection
HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultiuleTSSession
इसके अलावा, खतरा स्थानीय क्षेत्र नेटवर्क सेटिंग्स में एक नया उपयोगकर्ता खाता जोड़ता है। घुसपैठिए खाते का नाम 'व्यवस्थापक0r' है और इसका पासवर्ड '123mudar' है। खाते को स्थानीय समूह 'व्यवस्थापक' में भी डाला जाता है।
डेटा एकत्रित करना
एक बार सभी तैयारियां पूरी हो जाने के बाद, ZE लोडर डिवाइस पर पीड़ित की गतिविधि की निगरानी करना शुरू कर देता है। मैलवेयर एक उपयुक्त ऑनलाइन बैंकिंग सत्र के प्रमाणित होने या उपयोगकर्ता के डेस्कटॉप पर लक्षित बैंकिंग एप्लिकेशन तक पहुंचने की प्रतीक्षा करता है। अपने लक्ष्य को प्राप्त करने के लिए, ZE लोडर सभी चल रही प्रक्रियाओं की निगरानी करता है और आवश्यक प्रक्रियाओं को समाप्त कर देता है।
यह भ्रम पैदा करने के लिए कि वैध एप्लिकेशन वास्तव में खुला है, मैलवेयर एक नई विंडो प्रदर्शित करता है जिसमें लक्षित बैंक से संबंधित एप्लिकेशन छवियां होती हैं। इन छवियों को /JDK_SDK निर्देशिका में समझौता किए गए डिवाइस पर संग्रहीत किया जाता है और जरूरत पड़ने पर डिक्रिप्ट और लोड किया जाता है। नकली विंडो में दर्ज की गई जानकारी तब धमकी देने वाले अभिनेताओं द्वारा प्राप्त की जाती है जो वित्तीय धोखाधड़ी या अन्य अवैध गतिविधियों के लिए इसका फायदा उठा सकते हैं।