Licenser för flera enheter (volymrabatter)

Ändra region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Banking Trojan ZE Loader

ZE Loader

Med Mezo år Banking Trojan
Översätt till:
Svenska

ZE Loader är en annan hotfull malware som försöker få bankinformation från sina offer via överlagringsattacker.Till skillnad från de vanliga banktrojanerna upprättar ZE -lastaren dock en bakdörrsanslutning, använder olika smygtekniker för att förbli dolda och lagrar permanenta tillgångar på komprometterade enheter.

Hotet distribueras som en del av en legitim mjukvaruprodukt. När den intet ont anande användaren startar programmet, utlöser det en DLL -kapning som laddar en skadad DLL för att ersätta den ursprungliga filen med namnet 'DVDSetting.dll.'

Upprätta dess närvaro

För att undvika upptäckt från lösningar mot skadlig kod ändrar ZE Loader namn och tillägg på sina filer. Det manipulerar också vissa säkerhetsinställningar för att öppna obehindrad bakdörråtkomst till enheten. Det gör det faktiskt möjligt för hotaktörerna att upprätta flera RDP -anslutningar (Remote Desktop Protocol). Till exempel byter den följande inställningar till 'true:'

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnection

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ Licensing Core \ EnableConCurrentSessions

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ AllowMultipuleTSSession

Dessutom lägger hotet till ett nytt användarkonto i lokala nätverksinställningar. Inbrytarkontot heter 'Administart0r' och lösenordet är '123mudar'. Kontot injiceras också i den lokala gruppen 'administradores'.

Insamling av data

När alla förberedelser har slutförts börjar ZE Loader att övervaka offrets aktivitet på enheten. Skadlig programvara väntar på att en lämplig nätbanksession ska autentiseras eller att användaren får åtkomst till en riktad bankapplikation på skrivbordet. För att uppnå sitt mål övervakar ZE Loader alla löpande processer och dödar de nödvändiga.

För att skapa en illusion om att den legitima applikationen faktiskt öppnades, visar skadlig programvara ett nytt fönster som innehåller applikationsbilder som motsvarar den riktade banken. Dessa bilder lagras på den komprometterade enheten i katalogen /JDK_SDK och dekrypteras och laddas vid behov. Informationen som matas in i det falska fönstret erhålls sedan av hotaktörerna som kan utnyttja den för ekonomiskt bedrägeri eller annan olaglig verksamhet.

Trendigt

Mest sedda

Läser in...