Το ZE Loader ενεργοποιεί τις επιθέσεις επικάλυψης μέσω σύνδεσης RDP

Το ZE Loader είναι μια κακόβουλη εφαρμογή των Windows, οι χειριστές της οποίας τη χρησιμοποιούν για να εκτελέσουν τις λεγόμενες επιθέσεις επικάλυψης. Αυτή η τεχνική επίθεσης επικεντρώνεται στην κλοπή οικονομικών δεδομένων από τα θύματα, εμφανίζοντας ψεύτικα μηνύματα ηλεκτρονικού ψαρέματος πάνω από νόμιμες εφαρμογές και ιστότοπους. Στην περίπτωση του ZE Loader, οι εγκληματίες στοχεύουν σε τράπεζες, διαδικτυακούς επεξεργαστές πληρωμών και χρηματιστήρια κρυπτονομισμάτων. Ο εισβολέας είναι σε θέση να αλληλεπιδράσει με τη μηχανή του θύματος σε πραγματικό χρόνο, επομένως ενισχύοντας σημαντικά τη φινέτσα της όλης επιχείρησης.

Συνήθως, τα θύματα του ZE Loader καταλήγουν να αλληλεπιδρούν με το κακόβουλο λογισμικό λόγω μηνυμάτων ηλεκτρονικού ψαρέματος, πλαστών λήψεων ή πειρατικού λογισμικού. Μόλις εκτελεστεί, το ZE Loader θα κάνει κάποιες αλλαγές στην εγκατάσταση των Windows. Αυτές οι αλλαγές παρέχουν στον απομακρυσμένο εισβολέα ευκολότερη πρόσβαση:

• Εξασφαλίζει ότι το Trojan εκτελείται με δικαιώματα διαχειριστή.
• Δημιούργησε μια σύνδεση Remote Desktop Protocol (RDP) με το διακομιστή εντολών και ελέγχου.
• Το ZE Loader επιτρέπει πολλαπλές συνδέσεις RDP στη μολυσμένη συσκευή παραβιάζοντας το μητρώο των Windows.
• Το κακόβουλο λογισμικό δημιουργεί επίσης έναν νέο λογαριασμό χρήστη με το όνομα Administart0r και τον κωδικό πρόσβασης 123mudar.
• Τέλος, το εμφύτευμα φροντίζει να επιτρέπει συνδέσεις RDP μέσω του τείχους προστασίας των Windows.

Εν τω μεταξύ, το κακόβουλο λογισμικό θα ρίξει επίσης μερικά αρχεία στο μηχάνημα του θύματος. Ορισμένα από αυτά έχουν σχεδιαστεί για να χαλαρώσουν τα μέτρα ασφαλείας, ενώ ένα αρχείο JDK_SDK φέρει όλα τα στοιχεία που χρησιμοποιεί ο Trojan κατά την επίθεσή του. Αυτό είναι μάλλον ασυνήθιστο - συνήθως, οι Τρώες που εκτελούν επιθέσεις επικάλυψης μεταφέρουν τις εικόνες και τις σελίδες ηλεκτρονικού "ψαρέματος" τους από τον απομακρυσμένο διακομιστή. Ωστόσο, αυτό το κακόβουλο λογισμικό αποθηκεύει όλα αυτά τα στοιχεία σε κρυπτογραφημένη κατάσταση στο μηχάνημα του θύματος.

Οι ZE Loader Operators ενορχηστρώνουν επιθέσεις μέσω συνδέσεων RDP

Το ZE Loader παρακολουθεί ενεργά τις νέες διαδικασίες και τις ενεργές περιόδους περιήγησης. Εάν εντοπίσει ότι ο χρήστης προσπαθεί να φορτώσει έναν από τους υποστηριζόμενους διαδικτυακούς τραπεζικούς ιστότοπους ή μια εφαρμογή που στοχεύει το Trojan, ο εισβολέας θα λάβει μια ειδοποίηση. Μόλις οι εγκληματίες συνδεθούν μέσω RDP, μπορούν να αρχίσουν να εκτελούν εντολές. Συνήθως, αυτό θα έδειχνε τα στοιχεία ηλεκτρονικού ψαρέματος από το αρχείο JDK_SDK που έφερε μαζί το ZE Loader. Οι εγκληματίες είναι σε θέση να παίξουν διάφορα σενάρια για να κλέψουν δεδομένα. Για παράδειγμα, θα μπορούσαν να ζητήσουν από τον χρήστη διαπιστευτήρια σύνδεσης, δεδομένα πιστωτικής κάρτας, έλεγχο ταυτότητας δύο παραγόντων και άλλα.

Ενώ το ZE Loader δεν εκτελεί την πιο εξελιγμένη επίθεση επικάλυψης που έχουμε δει, εξακολουθεί να είναι ένα πολύ επικίνδυνο κομμάτι κακόβουλου λογισμικού. Προστατέψτε τα συστήματά σας Windows από τέτοιες επιθέσεις χρησιμοποιώντας ενημερωμένα εργαλεία προστασίας από ιούς. Φυσικά, φροντίστε επίσης να μάθετε πώς να περιηγείστε με ασφάλεια στον Ιστό.