ZE Loader ermöglicht Overlay-Angriffe über eine RDP-Verbindung

Der ZE Loader ist eine bösartige Windows-Anwendung, deren Betreiber damit sogenannte Overlay-Angriffe ausführen. Diese Angriffstechnik konzentriert sich auf den Diebstahl von Finanzdaten von Opfern, indem gefälschte Phishing-Aufforderungen über legitimen Anwendungen und Websites angezeigt werden. Im Fall von ZE Loader zielen die Kriminellen auf Banken, Online-Zahlungsabwickler und Kryptowährungsbörsen ab. Der Angreifer kann in Echtzeit mit dem Computer des Opfers interagieren, wodurch die Finesse der gesamten Operation erheblich verbessert wird.

Typischerweise interagieren Opfer des ZE Loader aufgrund von Phishing-E-Mails, gefälschten Downloads oder raubkopierter Software mit der Malware. Nach der Ausführung nimmt der ZE Loader einige Änderungen an der Windows-Installation vor. Diese Änderungen bieten dem Remote-Angreifer einen einfacheren Zugriff:

  • Es stellt sicher, dass der Trojaner mit Administratorrechten ausgeführt wird.
  • Es stellte eine Remote Desktop Protocol (RDP)-Verbindung zum Command-and-Control-Server her.
  • ZE Loader ermöglicht mehrere RDP-Verbindungen auf dem infizierten Gerät durch Manipulation der Windows-Registrierung.
  • Außerdem erstellt die Malware ein neues Benutzerkonto mit dem Namen Administart0r und dem Passwort 123mudar.
  • Schließlich stellt das Implantat sicher, dass RDP-Verbindungen durch die Windows-Firewall zugelassen werden.

In der Zwischenzeit legt die Malware auch einige Dateien auf dem Computer des Opfers ab. Einige davon sollen die Sicherheitsmaßnahmen lockern, während eine JDK_SDK-Datei alle Assets enthält, die der Trojaner während seines Angriffs verwendet. Dies ist eher ungewöhnlich – normalerweise holen Trojaner, die Overlay-Angriffe ausführen, ihre Bilder und Phishing-Seiten vom Remote-Server. Diese Malware speichert jedoch alle diese Assets in einem verschlüsselten Zustand auf dem Computer des Opfers.

ZE-Loader-Operatoren orchestrieren Angriffe über RDP-Verbindungen

ZE Loader überwacht aktiv neu geöffnete Prozesse und aktive Browsersitzungen. Wenn es erkennt, dass der Benutzer versucht, eine der unterstützten Online-Banking-Sites oder eine App zu laden, auf die der Trojaner abzielt, erhält der Angreifer eine Benachrichtigung. Sobald sich die Kriminellen über RDP verbinden, können sie mit der Ausführung von Befehlen beginnen. Normalerweise werden die Phishing-Assets aus der JDK_SDK-Datei angezeigt, die der ZE Loader mitgebracht hat. Die Kriminellen können verschiedene Szenarien durchspielen, um Daten zu stehlen. Sie könnten den Benutzer beispielsweise nach Anmeldeinformationen, Kreditkartendaten, Zwei-Faktor-Authentifizierung und mehr fragen.

Obwohl der ZE Loader nicht den ausgefeiltesten Overlay-Angriff ausführt, den wir gesehen haben, ist er dennoch eine sehr gefährliche Malware. Schützen Sie Ihre Windows-Systeme vor solchen Angriffen, indem Sie aktuelle Antiviren-Tools verwenden. Natürlich sollten Sie auch lernen, wie Sie sicher im Internet surfen.

Bis Ruik
September 30, 2021
Trojan
Deutsch
September 30, 2021
Trojan

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.