ZE Loader позволяет использовать оверлейные атаки через RDP-соединение

ZE Loader - это вредоносное приложение для Windows, операторы которого используют его для выполнения так называемых оверлейных атак. Этот метод атаки направлен на кражу финансовых данных жертв путем отображения поддельных фишинговых подсказок поверх законных приложений и веб-сайтов. В случае ZE Loader злоумышленники нацелены на банки, онлайн-платежные системы и криптовалютные биржи. Злоумышленник может взаимодействовать с машиной жертвы в режиме реального времени, что значительно повышает точность всей операции.

Обычно жертвы ZE Loader взаимодействуют с вредоносным ПО из-за фишинговых писем, поддельных загрузок или пиратского программного обеспечения. После запуска ZE Loader внесет некоторые изменения в установку Windows. Эти изменения упрощают доступ удаленному злоумышленнику:

• Это гарантирует, что троянец работает с правами администратора.
• Он установил соединение по протоколу удаленного рабочего стола (RDP) с командно-управляющим сервером.
• ZE Loader включает несколько RDP-подключений на зараженном устройстве, изменяя реестр Windows.
• Вредоносная программа также создает новую учетную запись пользователя с именем Administart0r и паролем 123mudar.
• Наконец, имплант гарантирует, что RDP-соединения разрешены через брандмауэр Windows.

Тем временем вредоносная программа также сбросит некоторые файлы на машину жертвы. Некоторые из них предназначены для ослабления мер безопасности, в то время как файл JDK_SDK содержит все активы, которые троянец использует во время своей атаки. Это довольно необычно - обычно трояны, выполняющие оверлейные атаки, получают свои изображения и фишинговые страницы с удаленного сервера. Однако это вредоносное ПО хранит все эти активы в зашифрованном виде на машине жертвы.

Операторы загрузчика ZE организуют атаки через соединения RDP

ZE Loader активно отслеживает вновь открытые процессы и активные сеансы браузера. Если он определяет, что пользователь пытается загрузить один из поддерживаемых сайтов онлайн-банкинга или приложение, на которое нацелен троян, злоумышленник получит уведомление. Как только преступники подключатся через RDP, они могут начать выполнять команды. Обычно это показывает фишинговые ресурсы из файла JDK_SDK, который принес с собой ZE Loader. Преступники могут разыграть различные сценарии кражи данных. Например, они могут запросить у пользователя учетные данные для входа, данные кредитной карты, двухфакторную аутентификацию и многое другое.

Хотя ZE Loader не выполняет самую изощренную оверлейную атаку, которую мы видели, он по-прежнему является очень опасным вредоносным ПО. Защитите свои системы Windows от таких атак с помощью современных антивирусных инструментов. Конечно, также убедитесь, что вы научились безопасно просматривать веб-страницы.