ZE Loader
ZE Loader es otro malware amenazante que intenta obtener información bancaria de sus víctimas mediante ataques de superposición.Sin embargo, a diferencia de los troyanos bancarios típicos, el cargador ZE establece una conexión de puerta trasera, emplea varias técnicas de sigilo para permanecer oculto y almacena activos permanentes en dispositivos comprometidos.
La amenaza se distribuye como parte de un producto de software legítimo. Cuando el usuario desprevenido inicia la aplicación, desencadena un secuestro de DLL que carga una DLL dañada para reemplazar el archivo original llamado 'DVDSetting.dll'.
Estableciendo su presencia
Para evadir la detección de las soluciones anti-malware, ZE Loader cambia los nombres y extensiones de sus archivos. También manipula ciertas configuraciones de seguridad para abrir el acceso de puerta trasera sin obstáculos al dispositivo. De hecho, hace posible que los actores de amenazas establezcan múltiples conexiones RDP (Protocolo de escritorio remoto). Por ejemplo, cambia la siguiente configuración a 'verdadero:'
HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnection
HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ Licensing Core \ EnableConCurrentSessions
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ AllowMultipuleTSSession
Además, la amenaza agrega una nueva cuenta de usuario a la configuración de la red de área local. La cuenta del intruso se llama 'Administart0r' y su contraseña es '123mudar'. La cuenta también se inyecta en el grupo local 'administradores'.
Recolectando datos
Una vez que se han completado todos los preparativos, ZE Loader comienza a monitorear la actividad de la víctima en el dispositivo. El malware espera que se autentique una sesión bancaria en línea adecuada o que el usuario acceda a una aplicación bancaria específica en el escritorio. Para lograr su objetivo, ZE Loader supervisa todos los procesos en ejecución y elimina los necesarios.
Para crear la ilusión de que la aplicación legítima, de hecho, se abrió, el malware muestra una nueva ventana que contiene imágenes de la aplicación correspondientes al banco objetivo. Estas imágenes se almacenan en el dispositivo comprometido en el directorio / JDK_SDK y se descifran y cargan cuando es necesario. La información ingresada en la ventana falsa es luego obtenida por los actores de amenazas que pueden explotarla para fraude financiero u otras actividades ilícitas.
