ZE Loader
ZE Loader 是另一種具有威脅性的惡意軟件,它試圖通過覆蓋攻擊從受害者那裡獲取銀行信息。但是,與典型的銀行木馬不同,ZE 加載程序建立後門連接,採用各種隱身技術保持隱藏狀態,並將永久資產存儲在受感染設備上。
該威脅作為合法軟件產品的一部分進行分發。當毫無戒心的用戶啟動應用程序時,它會觸發 DLL 劫持,加載損壞的 DLL 以替換名為“DVDSetting.dll”的原始文件。
建立它的存在
為了逃避反惡意軟件解決方案的檢測,ZE Loader 更改了其文件的名稱和擴展名。它還操縱某些安全設置以打開對設備的無障礙後門訪問。事實上,它使威脅參與者可以建立多個 RDP(遠程桌面協議)連接。例如,它將以下設置切換為“true”:
HKLM\System\CurrentControlSet \Control\Terminal Server\fDenyTSConnection
HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession
此外,該威脅還會在局域網設置中添加一個新用戶帳戶。入侵者帳戶名為“Administart0r”,密碼為“123mudar”。該帳戶也被注入到本地組“administradores”中。
收集數據
所有準備工作完成後,ZE Loader 開始監視受害者在設備上的活動。惡意軟件會等待適當的在線銀行會話通過身份驗證或等待用戶訪問桌面上的目標銀行應用程序。為了實現其目標,ZE Loader 監控所有正在運行的進程並殺死必要的進程。
為了營造合法應用程序確實打開的假象,惡意軟件會顯示一個新窗口,其中包含與目標銀行對應的應用程序圖像。這些圖像存儲在受感染設備的 /JDK_SDK 目錄中,並在需要時解密和加載。輸入虛假窗口的信息隨後被威脅行為者獲取,他們可以利用它進行金融欺詐或其他非法活動。
