ZE 로더

ZE Loader는 오버레이 공격을 통해 피해자로부터 은행 정보를 얻으려는 또 다른 위협적인 멀웨어입니다.그러나 일반적인 뱅킹 트로이 목마와 달리 ZE 로더는 백도어 연결을 설정하고 다양한 스텔스 기술을 사용하여 숨겨진 상태를 유지하며 손상된 장치에 영구 자산을 저장합니다.

위협은 합법적인 소프트웨어 제품의 일부로 배포됩니다. 순진한 사용자가 응용 프로그램을 시작하면 손상된 DLL을 로드하여 'DVDSetting.dll'이라는 이름의 원본 파일을 교체하는 DLL 하이재킹을 트리거합니다.

그 존재를 확립

맬웨어 방지 솔루션의 탐지를 피하기 위해 ZE Loader는 파일의 이름과 확장자를 변경합니다. 또한 특정 보안 설정을 조작하여 장치에 대한 방해 없는 백도어 액세스를 엽니다. 실제로 이는 위협 행위자가 여러 RDP(원격 데스크톱 프로토콜) 연결을 설정하는 것을 가능하게 합니다. 예를 들어 다음 설정을 'true:'로 전환합니다.

HKLM\System\CurrentControlSet \Control\터미널 서버\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

또한 위협 요소는 LAN 설정에 새 사용자 계정을 추가합니다. 침입자 계정의 이름은 'Administart0r'이고 비밀번호는 '123mudar'입니다. 계정은 또한 로컬 그룹 'administradores'에 주입됩니다.

데이터 수집

모든 준비가 완료되면 ZE Loader가 장치에서 피해자의 활동을 모니터링하기 시작합니다. 멀웨어는 적절한 온라인 뱅킹 세션이 인증되거나 사용자가 데스크톱에서 대상 뱅킹 애플리케이션에 액세스할 때까지 기다립니다. 목표를 달성하기 위해 ZE Loader는 실행 중인 모든 프로세스를 모니터링하고 필요한 프로세스를 종료합니다.

합법적인 애플리케이션이 실제로 열린 것처럼 착각하게 만들기 위해 멀웨어는 대상 은행에 해당하는 애플리케이션 이미지가 포함된 새 창을 표시합니다. 이러한 이미지는 손상된 장치의 /JDK_SDK 디렉토리에 저장되며 필요할 때 해독되고 로드됩니다. 그런 다음 가짜 창에 입력된 정보는 금융 사기 또는 기타 불법 활동에 악용할 수 있는 위협 행위자가 얻습니다.