ZE Loader consente attacchi overlay tramite una connessione RDP

ZE Loader è un'applicazione Windows dannosa i cui operatori lo utilizzano per eseguire i cosiddetti attacchi overlay. Questa tecnica di attacco si concentra sul furto di dati finanziari dalle vittime visualizzando falsi messaggi di phishing su applicazioni e siti Web legittimi. Nel caso di ZE Loader, i criminali prendono di mira banche, processori di pagamento online e scambi di criptovalute. L'aggressore è in grado di interagire con la macchina della vittima in tempo reale, migliorando quindi notevolmente la finezza dell'intera operazione.

In genere, le vittime di ZE Loader finiscono per interagire con il malware a causa di e-mail di phishing, download falsi o software piratato. Una volta in esecuzione, ZE Loader apporterà alcune modifiche all'installazione di Windows. Queste modifiche forniscono all'attaccante remoto un accesso più semplice:

• Assicura che il Trojan sia in esecuzione con i permessi di amministratore.
• Ha stabilito una connessione Remote Desktop Protocol (RDP) al server di comando e controllo.
• ZE Loader consente più connessioni RDP sul dispositivo infetto manomettendo il registro di Windows.
• Il malware crea anche un nuovo account utente con il nome Administart0r e la password 123mudar.
• Infine, l'impianto si assicura di consentire le connessioni RDP tramite Windows Firewall.

Nel frattempo, il malware rilascerà anche alcuni file sul computer della vittima. Alcuni di questi sono progettati per allentare le misure di sicurezza, mentre un file JDK_SDK contiene tutte le risorse utilizzate da Trojan durante il suo attacco. Questo è piuttosto raro: in genere, i trojan che eseguono attacchi di overlay recuperano le loro immagini e le pagine di phishing dal server remoto. Tuttavia, questo malware archivia tutte queste risorse in uno stato crittografato sul computer della vittima.

Gli operatori di ZE Loader orchestrano gli attacchi tramite connessioni RDP

ZE Loader monitora attivamente i processi appena aperti e le sessioni del browser attive. Se rileva che l'utente sta tentando di caricare uno dei siti di servizi bancari online supportati o un'app presa di mira dal Trojan, l'attaccante riceverà una notifica. Una volta che i criminali si connettono tramite RDP, possono iniziare a eseguire i comandi. In genere, ciò mostrerebbe le risorse di phishing dal file JDK_SDK che ZE Loader ha portato con sé. I criminali sono in grado di riprodurre vari scenari per rubare dati. Ad esempio, potrebbero chiedere all'utente le credenziali di accesso, i dati della carta di credito, l'autenticazione a due fattori e altro.

Sebbene ZE Loader non esegua l'attacco overlay più sofisticato che abbiamo visto, è comunque un malware molto pericoloso. Proteggi i tuoi sistemi Windows da tali attacchi utilizzando strumenti antivirus aggiornati. Naturalmente, assicurati anche di imparare a navigare sul Web in modo sicuro.