ZE Погрузчик

ZE Loader - еще одно опасное вредоносное ПО, которое пытается получить банковскую информацию от своих жертв с помощью оверлейных атак.Однако, в отличие от типичных банковских троянов, загрузчик ZE устанавливает бэкдор-соединение, использует различные скрытые методы, чтобы оставаться скрытым, и сохраняет постоянные активы на скомпрометированных устройствах.

Угроза распространяется как часть легального программного продукта. Когда ничего не подозревающий пользователь запускает приложение, оно запускает захват DLL, который загружает поврежденную DLL для замены исходного файла с именем «DVDSetting.dll».

Установление его присутствия

Чтобы избежать обнаружения антивирусными решениями, ZE Loader изменяет имена и расширения своих файлов. Он также манипулирует определенными настройками безопасности, чтобы открыть беспрепятственный доступ через черный ход к устройству. Фактически, это позволяет злоумышленникам установить несколько подключений RDP (протокол удаленного рабочего стола). Например, он переключает следующие настройки на «true»:

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnection

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ Licensing Core \ EnableConCurrentSessions

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ AllowMultipuleTSSession

Кроме того, угроза добавляет новую учетную запись пользователя в настройки локальной сети. Учетная запись злоумышленника называется «Administart0r», а ее пароль - «123mudar». Учетная запись также вводится в локальную группу «administradores».

Сбор данных

После завершения всех приготовлений ZE Loader начинает отслеживать активность жертвы на устройстве. Вредоносная программа ожидает аутентификации соответствующего сеанса онлайн-банкинга или доступа пользователя к целевому банковскому приложению на настольном компьютере. Для достижения своей цели ZE Loader отслеживает все запущенные процессы и завершает необходимые.

Чтобы создать иллюзию того, что законное приложение действительно открылось, вредоносная программа отображает новое окно, содержащее изображения приложений, соответствующие целевому банку. Эти образы хранятся на взломанном устройстве в каталоге / JDK_SDK и при необходимости расшифровываются и загружаются. Информация, введенная в фальшивое окно, затем получается злоумышленниками, которые могут использовать ее для финансового мошенничества или другой незаконной деятельности.