Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Banking Trojan ZE Loader

ZE Loader

Por Mezo em Banking Trojan
Traduzir Para:
Português

O ZE Loader é outro malware ameaçador que tenta obter informações bancárias de suas vítimas por meio de ataques de sobreposição.No entanto, ao contrário dos Trojans bancários típicos, o ZE Loader estabelece uma conexão de backdoor, emprega várias técnicas furtivas para permanecer oculto e armazena ativos permanentes em dispositivos comprometidos.

A ameaça é distribuída como parte de um produto de software legítimo. Quando o usuário desavisado inicia o aplicativo, ele dispara um sequestro de DLL que carrega uma DLL corrompida para substituir o arquivo original denominado 'DVDSetting.dll'.

Estabelecendo Sua Presença

Para evitar sua detecção pelas soluções anti-malware, o ZE Loader altera os nomes e extensões de seus arquivos. Ele também manipula certas configurações de segurança para abrir o acesso backdoor desobstruído ao dispositivo. Na verdade, ele possibilita que os agentes da ameaça estabeleçam várias conexões RDP (Remote Desktop Protocol). Por exemplo, ele muda as seguintes configurações para 'true:'

HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

Além disso, a ameaça adiciona uma nova conta de usuário às configurações da rede local. A conta do intruso é chamada 'Administart0r' e sua senha é '123mudar.' A conta também é injetada no grupo local 'administradores'.

Coletando Dados

Assim que todos os preparativos forem concluídos, o ZE Loader começa a monitorar a atividade da vítima no dispositivo. O malware espera que uma sessão de banco on-line apropriada seja autenticada ou que o usuário acesse um aplicativo bancário direcionado no desktop. Para atingir seu objetivo, o ZE Loader monitora todos os processos em execução e elimina os necessários.

Para criar a ilusão de que o aplicativo legítimo foi, de fato, aberto, o malware exibe uma nova janela que contém imagens do aplicativo correspondentes ao banco de destino. Essas imagens são armazenadas no dispositivo comprometido no diretório/JDK_SDK e são descriptografadas e carregadas quando necessário. As informações inseridas na janela falsa são então obtidas pelos atores da ameaça, que podem explorá-las para fraudes financeiras ou outras atividades ilícitas.

Tendendo

Mais visto

Carregando...