ZE Loader

ZE Loaderは、オーバーレイ攻撃を介して被害者から銀行情報を取得しようとするもう1つの脅威的なマルウェアです。ただし、一般的なバンキング型トロイの木馬とは異なり、ZEローダーはバックドア接続を確立し、さまざまなステルス技術を使用して隠されたままにし、侵害されたデバイスに永続的な資産を保存します。

脅威は、正規のソフトウェア製品の一部として配布されます。疑いを持たないユーザーがアプリケーションを起動すると、DLLハイジャックがトリガーされ、破損したDLLが読み込まれ、「DVDSetting.dll」という名前の元のファイルが置き換えられます。

その存在を確立する

マルウェア対策ソリューションからの検出を回避するために、ZEローダーはファイルの名前と拡張子を変更します。また、特定のセキュリティ設定を操作して、デバイスへの障害物のないバックドアアクセスを開きます。実際、攻撃者が複数のRDP(リモートデスクトッププロトコル)接続を確立することを可能にします。たとえば、次の設定を「true」に切り替えます。

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnection

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ Licensing Core \ EnableConCurrentSessions

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ AllowMultipuleTSSession

さらに、脅威はローカルエリアネットワーク設定に新しいユーザーアカウントを追加します。侵入者アカウントの名前は「Administart0r」で、パスワードは「123mudar」です。アカウントは、ローカルグループ「administradores」にも挿入されます。

データの収集

すべての準備が完了すると、ZEローダーはデバイス上での被害者の活動の監視を開始します。マルウェアは、適切なオンラインバンキングセッションが認証されるか、ユーザーがデスクトップ上のターゲットバンキングアプリケーションにアクセスするのを待ちます。その目標を達成するために、ZEローダーは実行中のすべてのプロセスを監視し、必要なプロセスを強制終了します。

正規のアプリケーションが実際に開いたような錯覚を作り出すために、マルウェアは、標的の銀行に対応するアプリケーション画像を含む新しいウィンドウを表示します。これらのイメージは、侵害されたデバイスの/ JDK_SDKディレクトリに保存され、必要に応じて復号化されてロードされます。偽のウィンドウに入力された情報は、金融詐欺やその他の違法行為に悪用される可能性のある脅威アクターによって取得されます。

トレンド

最も見られました

読み込んでいます...