ZE Loader

ZE Loader is een andere bedreigende malware die via overlay-aanvallen bankgegevens van zijn slachtoffers probeert te verkrijgen.In tegenstelling tot de typische banktrojaanse paarden, brengt de ZE-lader echter een achterdeurverbinding tot stand, gebruikt verschillende stealth-technieken om verborgen te blijven en slaat permanente activa op gecompromitteerde apparaten op.

De dreiging wordt verspreid als onderdeel van een legitiem softwareproduct. Wanneer de nietsvermoedende gebruiker de toepassing start, wordt een DLL-kaping geactiveerd die een beschadigde DLL laadt om het originele bestand met de naam 'DVDSetting.dll' te vervangen.

Zijn aanwezigheid vestigen

Om detectie door anti-malwareoplossingen te omzeilen, verandert de ZE Loader de namen en extensies van zijn bestanden. Het manipuleert ook bepaalde beveiligingsinstellingen om onbelemmerde achterdeur toegang tot het apparaat te openen. In feite maakt het het voor de dreigingsactoren mogelijk om meerdere RDP-verbindingen (Remote Desktop Protocol) tot stand te brengen. Het schakelt bijvoorbeeld de volgende instellingen naar 'true:'

HKLM\System\CurrentControlSet \Control\Terminal Server\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

Bovendien voegt de dreiging een nieuwe gebruikersaccount toe aan de instellingen van het lokale netwerk. Het indringeraccount heet 'Administart0r' en het wachtwoord is '123mudar'. Het account wordt ook geïnjecteerd in de lokale groep 'administradores'.

Gegevens verzamelen

Zodra alle voorbereidingen zijn voltooid, begint de ZE Loader de activiteit van het slachtoffer op het apparaat te bewaken. De malware wacht op een geschikte online bankiersessie om te worden geverifieerd of op de gebruiker om toegang te krijgen tot een gerichte banktoepassing op de desktop. Om zijn doel te bereiken, bewaakt de ZE Loader alle lopende processen en schakelt hij de noodzakelijke uit.

Om de illusie te wekken dat de legitieme applicatie inderdaad is geopend, toont de malware een nieuw venster met applicatie-afbeeldingen die overeenkomen met de doelbank. Deze afbeeldingen worden opgeslagen op het gecompromitteerde apparaat in de /JDK_SDK-directory en worden gedecodeerd en geladen wanneer dat nodig is. De informatie die in het nepvenster wordt ingevoerd, wordt vervolgens verkregen door de dreigingsactoren die deze kunnen misbruiken voor financiële fraude of andere illegale activiteiten.