ZE Loader

ZE Loader è un altro malware minaccioso che cerca di ottenere informazioni bancarie dalle sue vittime tramite attacchi di sovrapposizione.Tuttavia, a differenza dei tipici trojan bancari, il caricatore ZE stabilisce una connessione backdoor, utilizza varie tecniche stealth per rimanere nascosto e archivia risorse permanenti su dispositivi compromessi.

La minaccia è distribuita come parte di un prodotto software legittimo. Quando l'utente ignaro avvia l'applicazione, attiva un dirottamento della DLL che carica una DLL danneggiata per sostituire il file originale denominato "DVDSetting.dll".

Stabilire la sua presenza

Per eludere il rilevamento dalle soluzioni anti-malware, ZE Loader modifica i nomi e le estensioni dei suoi file. Manipola anche alcune impostazioni di sicurezza per aprire l'accesso backdoor senza ostacoli al dispositivo. In effetti, consente agli attori delle minacce di stabilire più connessioni RDP (Remote Desktop Protocol). Ad esempio, imposta le seguenti impostazioni su "true:"

HKLM\System\CurrentControlSet \Control\Terminal Server\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

Inoltre, la minaccia aggiunge un nuovo account utente alle impostazioni della rete locale. L'account dell'intruso si chiama "Administart0r" e la sua password è "123mudar". L'account viene anche iniettato nel gruppo locale "administradores".

Raccolta dati

Una volta completati tutti i preparativi, ZE Loader inizia a monitorare l'attività della vittima sul dispositivo. Il malware attende che venga autenticata una sessione di online banking appropriata o che l'utente acceda a un'applicazione bancaria mirata sul desktop. Per raggiungere il suo obiettivo, ZE Loader monitora tutti i processi in esecuzione e interrompe quelli necessari.

Per creare l'illusione che l'applicazione legittima si sia effettivamente aperta, il malware visualizza una nuova finestra che contiene le immagini dell'applicazione corrispondenti alla banca presa di mira. Queste immagini vengono archiviate sul dispositivo compromesso nella directory /JDK_SDK e vengono decrittografate e caricate quando necessario. Le informazioni inserite nella finestra falsa vengono quindi ottenute dagli attori della minaccia che possono sfruttarle per frodi finanziarie o altre attività illecite.