„ZE Loader“ įgalina perdangos atakas per KPP ryšį

„ZE Loader“ yra kenkėjiška „Windows“ programa, kurios operatoriai ją naudoja vadinamosioms perdangos atakoms vykdyti. Ši atakos technika skirta aukų finansinių duomenų vagystei rodant suklastotus sukčiavimo raginimus teisėtų programų ir svetainių viršuje. „ZE Loader“ atveju nusikaltėliai taikosi į bankus, internetinių mokėjimų tvarkytojus ir kriptovaliutų keityklas. Užpuolikas gali realiu laiku bendrauti su aukos mašina, todėl labai pagerina visos operacijos subtilumą.

Paprastai „ZE Loader“ aukos sąveikauja su kenkėjiška programa dėl sukčiavimo el. Laiškų, suklastotų atsisiuntimų ar piratinės programinės įrangos. Paleidus „ZE Loader“, bus atlikti kai kurie „Windows“ diegimo pakeitimai. Šie pakeitimai palengvina nuotolinio užpuoliko prieigą:

• Tai užtikrina, kad Trojos arklys veikia su administratoriaus teisėmis.
• Jis sukūrė nuotolinio darbalaukio protokolo (RDP) ryšį su komandų ir valdymo serveriu.
• „ZE Loader“ įgalina kelis RDP ryšius užkrėstame įrenginyje, suklastodamas „Windows“ registrą.
• Kenkėjiška programa taip pat sukuria naują vartotojo paskyrą pavadinimu Administart0r ir slaptažodžiu 123mudar.
• Galiausiai implantas leidžia užtikrinti KPP ryšius per „Windows“ užkardą.

Tuo tarpu kenkėjiška programa taip pat nukreips kai kuriuos failus į aukos kompiuterį. Kai kurie iš jų yra skirti sušvelninti saugumo priemones, o JDK_SDK faile yra visas turtas, kurį Trojos arklys naudoja atakos metu. Tai gana neįprasta - paprastai Trojos arkliai, vykdantys persidengimo atakas, savo vaizdus ir sukčiavimo puslapius nuskaito iš nuotolinio serverio. Tačiau ši kenkėjiška programa saugo visą šį turtą užšifruotos būsenos aukos kompiuteryje.

„ZE Loader“ operatoriai organizuoja atakas per KPP jungtis

„ZE Loader“ aktyviai stebi naujai atidarytus procesus ir aktyvias naršyklės sesijas. Jei nustatoma, kad vartotojas bando įkelti vieną iš palaikomų internetinės bankininkystės svetainių arba programą, į kurią nukreipia Trojos arklys, užpuolikas gaus pranešimą. Kai nusikaltėliai prisijungia per KPP, jie gali pradėti vykdyti komandas. Paprastai tai parodys sukčiavimo išteklius iš failo JDK_SDK, kurį pateikė „ZE Loader“. Nusikaltėliai gali sugalvoti įvairių scenarijų, kad pavogtų duomenis. Pavyzdžiui, jie gali paprašyti vartotojo prisijungimo duomenų, kredito kortelės duomenų, dviejų veiksnių autentifikavimo ir dar daugiau.

Nors „ZE Loader“ nevykdo sudėtingiausios perdangos atakos, kurią matėme, tai vis tiek yra labai pavojinga kenkėjiška programa. Apsaugokite „Windows“ sistemas nuo tokių atakų naudodami naujausius antivirusinius įrankius. Žinoma, taip pat būtinai išmokite saugiai naršyti internete.