ZE Loader

ZE लोडर एक और खतरनाक मैलवेयर है जो ओवरले हमलों के माध्यम से अपने पीड़ितों से बैंकिंग जानकारी प्राप्त करने का प्रयास करता है।हालांकि, ठेठ बैंकिंग ट्रोजन के विपरीत, ZE लोडर एक पिछले दरवाजे कनेक्शन स्थापित करता है, छिपे रहने के लिए विभिन्न चुपके तकनीकों को नियोजित करता है, और समझौता किए गए उपकरणों पर स्थायी संपत्ति संग्रहीत करता है।

खतरे को एक वैध सॉफ्टवेयर उत्पाद के हिस्से के रूप में वितरित किया जाता है। जब अनपेक्षित उपयोगकर्ता एप्लिकेशन लॉन्च करता है, तो यह एक डीएलएल अपहरण को ट्रिगर करता है जो एक दूषित डीएलएल को 'DVDSetting.dll' नाम की मूल फ़ाइल को बदलने के लिए लोड करता है।

अपनी उपस्थिति स्थापित करना

एंटी-मैलवेयर सॉल्यूशंस से डिटेक्शन से बचने के लिए, ZE लोडर अपनी फाइलों के नाम और एक्सटेंशन को बदल देता है। यह डिवाइस में अबाधित पिछले दरवाजे तक पहुंच खोलने के लिए कुछ सुरक्षा सेटिंग्स में हेरफेर भी करता है। वास्तव में, यह खतरे के अभिनेताओं के लिए कई आरडीपी (रिमोट डेस्कटॉप प्रोटोकॉल) कनेक्शन स्थापित करना संभव बनाता है। उदाहरण के लिए, यह निम्न सेटिंग्स को 'सत्य:' पर स्विच करता है

HKLM\System\CurrentControlSet \Control\टर्मिनल सर्वर\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultiuleTSSession

इसके अलावा, खतरा स्थानीय क्षेत्र नेटवर्क सेटिंग्स में एक नया उपयोगकर्ता खाता जोड़ता है। घुसपैठिए खाते का नाम 'व्यवस्थापक0r' है और इसका पासवर्ड '123mudar' है। खाते को स्थानीय समूह 'व्यवस्थापक' में भी डाला जाता है।

डेटा एकत्रित करना

एक बार सभी तैयारियां पूरी हो जाने के बाद, ZE लोडर डिवाइस पर पीड़ित की गतिविधि की निगरानी करना शुरू कर देता है। मैलवेयर एक उपयुक्त ऑनलाइन बैंकिंग सत्र के प्रमाणित होने या उपयोगकर्ता के डेस्कटॉप पर लक्षित बैंकिंग एप्लिकेशन तक पहुंचने की प्रतीक्षा करता है। अपने लक्ष्य को प्राप्त करने के लिए, ZE लोडर सभी चल रही प्रक्रियाओं की निगरानी करता है और आवश्यक प्रक्रियाओं को समाप्त कर देता है।

यह भ्रम पैदा करने के लिए कि वैध एप्लिकेशन वास्तव में खुला है, मैलवेयर एक नई विंडो प्रदर्शित करता है जिसमें लक्षित बैंक से संबंधित एप्लिकेशन छवियां होती हैं। इन छवियों को /JDK_SDK निर्देशिका में समझौता किए गए डिवाइस पर संग्रहीत किया जाता है और जरूरत पड़ने पर डिक्रिप्ट और लोड किया जाता है। नकली विंडो में दर्ज की गई जानकारी तब धमकी देने वाले अभिनेताओं द्वारा प्राप्त की जाती है जो वित्तीय धोखाधड़ी या अन्य अवैध गतिविधियों के लिए इसका फायदा उठा सकते हैं।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...