ZEローダーはRDP接続を介したオーバーレイ攻撃を可能にします

ZEローダーは悪意のあるWindowsアプリケーションであり、そのオペレーターはそれを使用していわゆるオーバーレイ攻撃を実行します。この攻撃手法は、正当なアプリケーションやWebサイトの上に偽のフィッシングプロンプトを表示することにより、被害者から財務データを盗むことに焦点を当てています。 ZEローダーの場合、犯罪者は銀行、オンライン支払い処理業者、および暗号通貨取引所を標的にしています。攻撃者は被害者のマシンとリアルタイムで対話できるため、操作全体の巧妙さを大幅に向上させます。

通常、ZEローダーの被害者は、フィッシングメール、偽のダウンロード、または海賊版ソフトウェアが原因でマルウェアとやり取りすることになります。実行すると、ZEローダーはWindowsのインストールにいくつかの変更を加えます。これらの変更により、リモートの攻撃者はより簡単にアクセスできるようになります。

• これにより、トロイの木馬が管理者権限で実行されていることが保証されます。
• コマンドアンドコントロールサーバーへのリモートデスクトッププロトコル（RDP）接続を確立しました。
• ZEローダーは、Windowsレジストリを改ざんすることにより、感染したデバイスで複数のRDP接続を有効にします。
• このマルウェアは、Administart0rという名前と123mudarのパスワードで新しいユーザーアカウントも作成します。
• 最後に、インプラントは、Windowsファイアウォールを介したRDP接続を確実に許可します。

その間、マルウェアは被害者のマシンにいくつかのファイルもドロップします。これらの一部はセキュリティ対策を緩めるように設計されていますが、JDK_SDKファイルには、トロイの木馬が攻撃中に使用するすべての資産が含まれています。これはかなり珍しいことです。通常、オーバーレイ攻撃を実行するトロイの木馬は、リモートサーバーから画像とフィッシングページをフェッチします。ただし、このマルウェアは、これらすべての資産を被害者のマシンに暗号化された状態で保存します。

ZEローダーオペレーターは、RDP接続を介して攻撃を調整します

ZE Loaderは、新しく開かれたプロセスとアクティブなブラウザセッションをアクティブに監視します。ユーザーがサポートされているオンラインバンキングサイトの1つ、またはトロイの木馬が標的とするアプリを読み込もうとしていることを識別した場合、攻撃者は通知を受け取ります。犯罪者がRDP経由で接続すると、コマンドの実行を開始できます。通常、これはZEローダーが持ってきたJDK_SDKファイルからのフィッシング資産を示します。犯罪者は、データを盗むためにさまざまなシナリオを実行することができます。たとえば、ユーザーにログインクレデンシャル、クレジットカードデータ、2要素認証などを要求できます。

ZEローダーはこれまでに見た中で最も高度なオーバーレイ攻撃を実行しませんが、それでも非常に危険なマルウェアです。最新のウイルス対策ツールを使用して、このような攻撃からWindowsシステムを保護します。もちろん、Webを安全に閲覧する方法も必ず学んでください。