ZE Loader

ZE Loader, yer paylaşımlı saldırılar yoluyla kurbanlarından bankacılık bilgilerini almaya çalışan başka bir tehdit edici kötü amaçlı yazılımdır.Ancak, tipik bankacılık Truva atlarının aksine, ZE yükleyici bir arka kapı bağlantısı kurar, gizli kalmak için çeşitli gizli teknikler kullanır ve kalıcı varlıkları güvenliği ihlal edilmiş cihazlarda depolar.

Tehdit, meşru bir yazılım ürününün parçası olarak dağıtılır. Şüphelenmeyen kullanıcı uygulamayı başlattığında, 'DVDSetting.dll' adlı orijinal dosyayı değiştirmek için bozuk bir DLL yükleyen bir DLL ele geçirme işlemini tetikler.

Varlığını Oluşturmak

Kötü amaçlı yazılımdan koruma çözümlerinden algılamayı önlemek için ZE Loader, dosyalarının adlarını ve uzantılarını değiştirir. Ayrıca, cihaza engelsiz arka kapı erişimi açmak için belirli güvenlik ayarlarını da değiştirir. Aslında, tehdit aktörlerinin birden fazla RDP (Uzak Masaüstü Protokolü) bağlantısı kurmasını mümkün kılar. Örneğin, aşağıdaki ayarları 'true:' olarak değiştirir.

HKLM\System\CurrentControlSet \Control\Terminal Sunucusu\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

Ayrıca tehdit, yerel alan ağı ayarlarına yeni bir kullanıcı hesabı ekler. Davetsiz misafir hesabı 'Administart0r' olarak adlandırılmıştır ve şifresi '123mudar'dır. Hesap aynı zamanda yerel 'administradores' grubuna da enjekte edilir.

Veri Toplama

Tüm hazırlıklar tamamlandıktan sonra ZE Loader, kurbanın cihazdaki etkinliğini izlemeye başlar. Kötü amaçlı yazılım, uygun bir çevrimiçi bankacılık oturumunun kimliğinin doğrulanmasını veya kullanıcının masaüstünde hedeflenen bir bankacılık uygulamasına erişmesini bekler. ZE Loader, amacına ulaşmak için çalışan tüm süreçleri izler ve gerekli olanları öldürür.

Meşru uygulamanın aslında açtığı yanılsamasını yaratmak için kötü amaçlı yazılım, hedeflenen bankaya karşılık gelen uygulama görüntülerini içeren yeni bir pencere görüntüler. Bu görüntüler, güvenliği ihlal edilmiş cihazda /JDK_SDK dizininde depolanır ve gerektiğinde şifresi çözülür ve yüklenir. Sahte pencereye girilen bilgiler daha sonra onu mali dolandırıcılık veya diğer yasadışı faaliyetler için kullanabilecek tehdit aktörleri tarafından elde edilir.