A ZE Loader lehetővé teszi az átfedő támadásokat RDP kapcsolaton keresztül

A ZE Loader egy rosszindulatú Windows-alkalmazás, amelynek üzemeltetői az úgynevezett overlay támadások végrehajtására használják. Ez a támadási technika arra összpontosít, hogy pénzügyi adatokat lopjanak el az áldozatoktól, hamis adathalász üzeneteket jelenítve meg a jogos alkalmazások és webhelyek tetején. A ZE Loader esetében a bűnözők bankokat, online fizetésfeldolgozókat és kriptovaluta -cseréket céloznak meg. A támadó valós időben képes kapcsolatba lépni az áldozat gépével, ezáltal nagymértékben fokozva az egész művelet finomságát.

A ZE Loader áldozatai általában adathalász e -mailek, hamis letöltések vagy kalóz szoftverek miatt lépnek kapcsolatba a rosszindulatú programokkal. Futtatás után a ZE Loader bizonyos változtatásokat hajt végre a Windows telepítésében. Ezek a változtatások megkönnyítik a távoli támadó hozzáférését:

• Biztosítja, hogy a trójai rendszergazdai jogosultságokkal fut.
• Létrehozott egy Remote Desktop Protocol (RDP) kapcsolatot a parancs- és vezérlőszerverrel.
• A ZE Loader több RDP -kapcsolatot is lehetővé tesz a fertőzött eszközön a Windows rendszerleíró adatbázisának manipulálásával.
• A rosszindulatú program új felhasználói fiókot is létrehoz Administart0r névvel és 123mudar jelszóval.
• Végül az implantátum gondoskodik arról, hogy lehetővé tegye az RDP -kapcsolatokat a Windows tűzfalon keresztül.

Időközben a rosszindulatú programok néhány fájlt az áldozat gépére is dobnak. Ezek egy része a biztonsági intézkedések lazítására szolgál, míg a JDK_SDK fájl a trójai által a támadás során felhasznált összes eszközt tartalmazza. Ez meglehetősen ritka - általában az átfedést végrehajtó trójai programok lekérik képeiket és adathalász oldalaikat a távoli szerverről. Ez a kártevő azonban mindezeket az eszközöket titkosított állapotban tárolja az áldozat gépén.

A ZE Loader kezelői a támadásokat RDP kapcsolatokon keresztül szervezik

A ZE Loader aktívan figyeli az újonnan megnyitott folyamatokat és az aktív böngésző munkameneteket. Ha azonosítja, hogy a felhasználó megpróbálja betölteni a támogatott online banki webhelyeket vagy a trójai által megcélzott alkalmazásokat, a támadó értesítést kap. Amint a bűnözők RDP -n keresztül csatlakoznak, megkezdhetik a parancsok végrehajtását. Jellemzően a ZE Loader által a JDK_SDK fájlból származó adathalász eszközöket jeleníti meg. A bűnözők különféle forgatókönyveket játszhatnak ki az adatok ellopására. Például kérhetik a felhasználótól a bejelentkezési adatokat, a hitelkártya adatait, a kétfaktoros hitelesítést stb.

Bár a ZE Loader nem hajtja végre a legbonyolultabb átfedési támadást, amit láttunk, mégis nagyon veszélyes kártevő. Védje Windows rendszereit az ilyen támadásoktól naprakész víruskereső eszközökkel. Természetesen győződjön meg arról is, hogy megtanulta, hogyan kell biztonságosan böngészni az interneten.