ZE Loader 通过 RDP 连接启用覆盖攻击
ZE Loader 是一个恶意的 Windows 应用程序,其操作员使用它来执行所谓的覆盖攻击。这种攻击技术侧重于通过在合法应用程序和网站上显示虚假网络钓鱼提示来窃取受害者的财务数据。就 ZE Loader 而言,犯罪分子的目标是银行、在线支付处理器和加密货币交易所。攻击者能够与受害者的机器实时交互,因此大大提高了整个操作的技巧。
通常,ZE Loader 的受害者最终会因为网络钓鱼电子邮件、虚假下载或盗版软件而与恶意软件进行交互。运行后,ZE 加载程序将对 Windows 安装进行一些更改。这些更改为远程攻击者提供了更轻松的访问权限:
- 它确保木马以管理员权限运行。
- 它与命令和控制服务器建立了远程桌面协议 (RDP) 连接。
- ZE Loader 通过篡改 Windows 注册表在受感染设备上启用多个 RDP 连接。
- 该恶意软件还会创建一个名为 Adminstart0r 和密码为 123mudar 的新用户帐户。
- 最后,植入程序确保允许通过 Windows 防火墙进行 RDP 连接。
同时,恶意软件还会在受害者的机器上放置一些文件。其中一些旨在放松安全措施,而 JDK_SDK 文件携带木马在攻击期间使用的所有资产。这是相当罕见的——通常,执行覆盖攻击的特洛伊木马从远程服务器获取其图像和网络钓鱼页面。但是,该恶意软件将所有这些资产以加密状态存储在受害者的机器上。
ZE 加载器操作员通过 RDP 连接编排攻击
ZE Loader 主动监控新打开的进程和活动的浏览器会话。如果它识别出用户正在尝试加载受支持的在线银行网站之一或木马目标的应用程序,攻击者将收到通知。一旦犯罪分子通过 RDP 连接,他们就可以开始执行命令。通常,这会显示 ZE Loader 带来的 JDK_SDK 文件中的网络钓鱼资产。犯罪分子可以通过各种场景来窃取数据。例如,他们可以要求用户提供登录凭据、信用卡数据、双因素身份验证等。
虽然 ZE Loader 不会执行我们见过的最复杂的覆盖攻击,但它仍然是一个非常危险的恶意软件。使用最新的防病毒工具保护您的 Windows 系统免受此类攻击。当然,也要确保学会如何安全地浏览网页。