ZE Loader permite ataques de sobreposição por meio de uma conexão RDP

O ZE Loader é um aplicativo malicioso do Windows, cujos operadores o utilizam para executar os chamados ataques de sobreposição. Essa técnica de ataque se concentra em roubar dados financeiros das vítimas, exibindo prompts de phishing falsos em cima de aplicativos e sites legítimos. No caso do ZE Loader, os criminosos têm como alvo bancos, processadores de pagamento online e criptomoedas. O invasor é capaz de interagir com a máquina da vítima em tempo real, aumentando muito a sutileza de toda a operação.

Normalmente, as vítimas do ZE Loader acabam interagindo com o malware por causa de e-mails de phishing, downloads falsos ou software pirata. Uma vez executado, o ZE Loader fará algumas alterações na instalação do Windows. Essas alterações fornecem ao invasor remoto acesso mais fácil:

  • Ele garante que o Trojan está sendo executado com permissões de administrador.
  • Ele estabeleceu uma conexão RDP (Remote Desktop Protocol) com o servidor de comando e controle.
  • O ZE Loader permite várias conexões RDP no dispositivo infectado, adulterando o Registro do Windows.
  • O malware também cria uma nova conta de usuário com o nome Administart0r e a senha 123mudar.
  • Por fim, o implante se certifica de permitir conexões RDP por meio do Firewall do Windows.

Nesse ínterim, o malware também deixará alguns arquivos na máquina da vítima. Alguns deles são projetados para afrouxar as medidas de segurança, enquanto um arquivo JDK_SDK carrega todos os ativos que o Trojan usa durante seu ataque. Isso é bastante incomum - normalmente, os cavalos de Tróia que executam ataques de sobreposição buscam suas imagens e páginas de phishing no servidor remoto. No entanto, esse malware armazena todos esses ativos em um estado criptografado na máquina da vítima.

Operadores do carregador ZE orquestram ataques por meio de conexões RDP

O ZE Loader monitora ativamente os processos recém-abertos e as sessões ativas do navegador. Se identificar que o usuário está tentando carregar um dos sites de banco on-line suportados ou um aplicativo que o cavalo de Tróia tem como alvo, o invasor receberá uma notificação. Depois que os criminosos se conectam via RDP, eles podem começar a executar comandos. Normalmente, isso mostraria os ativos de phishing do arquivo JDK_SDK que o ZE Loader trouxe. Os criminosos podem jogar em vários cenários para roubar dados. Por exemplo, eles podem pedir ao usuário credenciais de login, dados de cartão de crédito, autenticação de dois fatores e muito mais.

Embora o ZE Loader não execute o ataque de sobreposição mais sofisticado que vimos, ele ainda é um malware muito perigoso. Proteja seus sistemas Windows de tais ataques usando ferramentas antivírus atualizadas. Claro, também certifique-se de aprender como navegar na Web com segurança.

September 30, 2021
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.