ZE Loader 通過 RDP 連接啟用覆蓋攻擊
ZE Loader 是一個惡意的 Windows 應用程序,其操作員使用它來執行所謂的覆蓋攻擊。這種攻擊技術側重於通過在合法應用程序和網站上顯示虛假網絡釣魚提示來竊取受害者的財務數據。就 ZE Loader 而言,犯罪分子的目標是銀行、在線支付處理器和加密貨幣交易所。攻擊者能夠與受害者的機器實時交互,因此大大提高了整個操作的技巧。
通常,ZE Loader 的受害者最終會因為網絡釣魚電子郵件、虛假下載或盜版軟件而與惡意軟件進行交互。運行後,ZE 加載程序將對 Windows 安裝進行一些更改。這些更改為遠程攻擊者提供了更輕鬆的訪問權限:
- 它確保木馬以管理員權限運行。
- 它與命令和控制服務器建立了遠程桌面協議 (RDP) 連接。
- ZE Loader 通過篡改 Windows 註冊表在受感染設備上啟用多個 RDP 連接。
- 該惡意軟件還會創建一個名為 Adminstart0r 和密碼為 123mudar 的新用戶帳戶。
- 最後,植入程序確保允許通過 Windows 防火牆進行 RDP 連接。
同時,惡意軟件還會在受害者的機器上放置一些文件。其中一些旨在放鬆安全措施,而 JDK_SDK 文件攜帶木馬在攻擊期間使用的所有資產。這是相當罕見的——通常,執行覆蓋攻擊的特洛伊木馬從遠程服務器獲取其圖像和網絡釣魚頁面。但是,該惡意軟件將所有這些資產以加密狀態存儲在受害者的機器上。
ZE 加載器操作員通過 RDP 連接編排攻擊
ZE Loader 主動監控新打開的進程和活動的瀏覽器會話。如果它識別出用戶正在嘗試加載受支持的在線銀行網站之一或木馬目標的應用程序,攻擊者將收到通知。一旦犯罪分子通過 RDP 連接,他們就可以開始執行命令。通常,這會顯示 ZE Loader 帶來的 JDK_SDK 文件中的網絡釣魚資產。犯罪分子可以通過各種場景來竊取數據。例如,他們可以要求用戶提供登錄憑據、信用卡數據、雙因素身份驗證等。
雖然 ZE Loader 不會執行我們見過的最複雜的覆蓋攻擊,但它仍然是一個非常危險的惡意軟件。使用最新的防病毒工具保護您的 Windows 系統免受此類攻擊。當然,也要確保學會如何安全地瀏覽網頁。