ZE Loader
ZE Loader 是另一种具有威胁性的恶意软件,它试图通过覆盖攻击从受害者那里获取银行信息。然而,与典型的银行木马不同,ZE 加载程序建立后门连接,采用各种隐身技术保持隐藏,并将永久资产存储在受感染设备上。
该威胁作为合法软件产品的一部分进行分发。当毫无戒心的用户启动应用程序时,它会触发 DLL 劫持,加载损坏的 DLL 以替换名为“DVDSetting.dll”的原始文件。
建立它的存在
为了逃避反恶意软件解决方案的检测,ZE Loader 更改了其文件的名称和扩展名。它还操纵某些安全设置以打开对设备的无障碍后门访问。事实上,它使威胁参与者可以建立多个 RDP(远程桌面协议)连接。例如,它将以下设置切换为“true”:
HKLM\System\CurrentControlSet \Control\Terminal Server\fDenyTSConnection
HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession
此外,该威胁还会在局域网设置中添加一个新用户帐户。入侵者帐户名为“Administart0r”,密码为“123mudar”。该帐户也被注入到本地组“administradores”中。
收集数据
所有准备工作完成后,ZE Loader 开始监视受害者在设备上的活动。恶意软件会等待适当的在线银行会话通过身份验证或等待用户访问桌面上的目标银行应用程序。为了实现其目标,ZE Loader 监控所有正在运行的进程并杀死必要的进程。
为了营造合法应用程序确实打开的假象,恶意软件会显示一个新窗口,其中包含与目标银行对应的应用程序图像。这些图像存储在受感染设备的 /JDK_SDK 目录中,并在需要时解密和加载。输入虚假窗口的信息随后被威胁行为者获取,他们可以利用它进行金融欺诈或其他非法活动。
