ZE Loader umożliwia ataki nakładkami za pośrednictwem połączenia RDP

ZE Loader to złośliwa aplikacja Windows, której operatorzy wykorzystują ją do przeprowadzania tak zwanych ataków typu overlay. Ta technika ataku koncentruje się na kradzieży danych finansowych ofiar poprzez wyświetlanie fałszywych podpowiedzi phishingu na legalnych aplikacjach i stronach internetowych. W przypadku ZE Loader przestępcy atakują banki, procesory płatności online i giełdy kryptowalut. Atakujący może wchodzić w interakcję z maszyną ofiary w czasie rzeczywistym, co znacznie zwiększa finezję całej operacji.

Zazwyczaj ofiary ZE Loader wchodzą w interakcję ze złośliwym oprogramowaniem z powodu wiadomości phishingowych, fałszywych pobrań lub pirackiego oprogramowania. Po uruchomieniu ZE Loader dokona pewnych zmian w instalacji Windows. Te zmiany zapewniają zdalnemu napastnikowi łatwiejszy dostęp:

• Zapewnia, że trojan działa z uprawnieniami administratora.
• Ustanowił połączenie Remote Desktop Protocol (RDP) z serwerem dowodzenia i kontroli.
• ZE Loader umożliwia wiele połączeń RDP na zainfekowanym urządzeniu poprzez manipulowanie rejestrem Windows.
• Szkodnik tworzy również nowe konto użytkownika o nazwie Administart0r i haśle 123mudar.
• Wreszcie implant zapewnia możliwość połączeń RDP przez zaporę systemu Windows.

W międzyczasie szkodliwe oprogramowanie umieści również niektóre pliki na komputerze ofiary. Niektóre z nich mają na celu rozluźnienie środków bezpieczeństwa, podczas gdy plik JDK_SDK zawiera wszystkie zasoby wykorzystywane przez trojana podczas ataku. Jest to dość rzadkie — zazwyczaj trojany wykonujące ataki typu overlay pobierają swoje obrazy i strony phishingowe ze zdalnego serwera. Jednak to złośliwe oprogramowanie przechowuje wszystkie te zasoby w postaci zaszyfrowanej na komputerze ofiary.

Operatorzy ładowaczy ZE organizują ataki za pośrednictwem połączeń RDP

ZE Loader aktywnie monitoruje nowo otwarte procesy i aktywne sesje przeglądarki. Jeśli wykryje, że użytkownik próbuje załadować jedną z obsługiwanych witryn bankowości internetowej lub aplikację, na którą atakuje trojan, atakujący otrzyma powiadomienie. Gdy przestępcy połączą się przez RDP, mogą zacząć wykonywać polecenia. Zazwyczaj pokazuje to zasoby phishingowe z pliku JDK_SDK, który przyniósł ZE Loader. Przestępcy mogą rozgrywać różne scenariusze, aby wykraść dane. Na przykład mogą poprosić użytkownika o dane logowania, dane karty kredytowej, uwierzytelnianie dwuskładnikowe i inne.

Chociaż ZE Loader nie wykonuje najbardziej wyrafinowanego ataku typu overlay, jaki widzieliśmy, nadal jest bardzo niebezpiecznym złośliwym oprogramowaniem. Chroń swoje systemy Windows przed takimi atakami, korzystając z aktualnych narzędzi antywirusowych. Oczywiście upewnij się również, że nauczyłeś się bezpiecznie przeglądać sieć.