ZE Loader

ZE Loader to kolejne groźne złośliwe oprogramowanie, które próbuje uzyskać informacje bankowe od swoich ofiar za pomocą ataków typu overlay.Jednak w przeciwieństwie do typowych trojanów bankowych, program ładujący ZE nawiązuje połączenie typu backdoor, wykorzystuje różne techniki ukrywania się, aby pozostać w ukryciu i przechowuje trwałe zasoby na zaatakowanych urządzeniach.

Zagrożenie jest rozpowszechniane jako część legalnego oprogramowania. Gdy niczego niepodejrzewający użytkownik uruchamia aplikację, wyzwala to przejęcie kontroli nad biblioteką DLL, która ładuje uszkodzoną bibliotekę DLL w celu zastąpienia oryginalnego pliku o nazwie „DVDSetting.dll”.

Ustanawianie swojej obecności

Aby uniknąć wykrycia przez rozwiązania antymalware, ZE Loader zmienia nazwy i rozszerzenia swoich plików. Manipuluje również pewnymi ustawieniami bezpieczeństwa, aby otworzyć niezakłócony dostęp do urządzenia z tylnymi drzwiami. W rzeczywistości umożliwia cyberprzestępcom nawiązanie wielu połączeń RDP (Remote Desktop Protocol). Na przykład zmienia następujące ustawienia na „prawda”:

HKLM\System\CurrentControlSet \Control\Serwer terminali\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Serwer terminali\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

Ponadto zagrożenie dodaje nowe konto użytkownika do ustawień sieci lokalnej. Konto intruza nazywa się „Administart0r”, a jego hasło to „123mudar”. Konto jest również wstrzykiwane do lokalnej grupy „administradores”.

Zbieranie danych

Po zakończeniu wszystkich przygotowań ZE Loader zaczyna monitorować aktywność ofiary na urządzeniu. Szkodnik czeka na uwierzytelnienie odpowiedniej sesji bankowości internetowej lub na dostęp użytkownika do docelowej aplikacji bankowej na komputerze. Aby osiągnąć swój cel, ZE Loader monitoruje wszystkie uruchomione procesy i zabija niezbędne.

Aby stworzyć iluzję, że legalna aplikacja rzeczywiście się otworzyła, szkodliwe oprogramowanie wyświetla nowe okno zawierające obrazy aplikacji odpowiadające atakowanemu bankowi. Obrazy te są przechowywane na zaatakowanym urządzeniu w katalogu /JDK_SDK i są odszyfrowywane i ładowane w razie potrzeby. Informacje wprowadzone do fałszywego okna są następnie uzyskiwane przez cyberprzestępców, którzy mogą je wykorzystać do oszustw finansowych lub innych nielegalnych działań.