ZE Loader

ZE Loader ist eine weitere bedrohliche Malware, die versucht, über Overlay-Angriffe Bankdaten von ihren Opfern zu erhalten. Im Gegensatz zu typischen Banking-Trojanern stellt der ZE-Loader jedoch eine Backdoor-Verbindung her, verwendet verschiedene Stealth-Techniken, um verborgen zu bleiben, und speichert dauerhafte Assets auf kompromittierten Geräten.

Die Bedrohung wird als Teil eines legitimen Softwareprodukts verbreitet. Wenn der ahnungslose Benutzer die Anwendung startet, löst sie eine DLL-Hijacking aus, die eine beschädigte DLL lädt, um die ursprüngliche Datei namens "DVDSetting.dll" zu ersetzen.

Etablierung seiner Präsenz

Um die Erkennung durch Anti-Malware-Lösungen zu vermeiden, ändert der ZE Loader die Namen und Erweiterungen seiner Dateien. Es manipuliert auch bestimmte Sicherheitseinstellungen, um einen ungehinderten Hintertürzugriff auf das Gerät zu ermöglichen. Tatsächlich ermöglicht es den Bedrohungsakteuren, mehrere RDP-Verbindungen (Remote Desktop Protocol) aufzubauen. Beispielsweise werden die folgenden Einstellungen auf "true" gesetzt:

HKLM\System\CurrentControlSet \Control\Terminal Server\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

Darüber hinaus fügt die Bedrohung den Einstellungen des lokalen Netzwerks ein neues Benutzerkonto hinzu. Das Konto des Eindringlings heißt 'Administart0r' und sein Passwort ist '123mudar'. Das Konto wird auch in die lokale Gruppe 'administradores' eingefügt.

Daten sammeln

Sind alle Vorbereitungen abgeschlossen, beginnt der ZE Loader mit der Überwachung der Aktivitäten des Opfers auf dem Gerät. Die Malware wartet darauf, dass eine entsprechende Online-Banking-Sitzung authentifiziert wird oder der Benutzer auf eine gezielte Banking-Anwendung auf dem Desktop zugreift. Um sein Ziel zu erreichen, überwacht der ZE Loader alle laufenden Prozesse und beendet die notwendigen.

Um die Illusion zu erwecken, dass die legitime Anwendung tatsächlich geöffnet wurde, zeigt die Malware ein neues Fenster an, das Anwendungsbilder enthält, die der Zielbank entsprechen. Diese Images werden auf dem kompromittierten Gerät im Verzeichnis /JDK_SDK gespeichert und bei Bedarf entschlüsselt und geladen. Die in das gefälschte Fenster eingegebenen Informationen werden dann von den Bedrohungsakteuren erhalten, die sie für Finanzbetrug oder andere illegale Aktivitäten ausnutzen können.