ZE Loader

ZE Loader est un autre malware menaçant qui tente d'obtenir des informations bancaires de ses victimes via des attaques par superposition.Cependant, contrairement aux chevaux de Troie bancaires typiques, le chargeur ZE établit une connexion de porte dérobée, utilise diverses techniques furtives pour rester caché et stocke les actifs permanents sur les appareils compromis.

La menace est distribuée dans le cadre d'un produit logiciel légitime. Lorsque l'utilisateur sans méfiance lance l'application, il déclenche un détournement de DLL qui charge une DLL corrompue pour remplacer le fichier d'origine nommé « DVDSetting.dll ».

Établir sa présence

Pour échapper à la détection des solutions anti-malware, le ZE Loader modifie les noms et les extensions de ses fichiers. Il manipule également certains paramètres de sécurité pour ouvrir un accès dérobé sans obstruction à l'appareil. En fait, il permet aux acteurs de la menace d'établir plusieurs connexions RDP (Remote Desktop Protocol). Par exemple, il bascule les paramètres suivants sur « true : »

HKLM\System\CurrentControlSet \Control\Terminal Server\fDenyTSConnection

HKLM\System\CurrentControlSet\Control\Terminal Server\Licensing Core\EnableConCurrentSessions

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllowMultipuleTSSession

De plus, la menace ajoute un nouveau compte d'utilisateur aux paramètres du réseau local. Le compte intrus est nommé « Administart0r » et son mot de passe est « 123mudar. » Le compte est également injecté dans le groupe local « administradores ».

La collecte de données

Une fois tous les préparatifs terminés, le ZE Loader commence à surveiller l'activité de la victime sur l'appareil. Le malware attend qu'une session bancaire en ligne appropriée soit authentifiée ou que l'utilisateur accède à une application bancaire ciblée sur le bureau. Pour atteindre son objectif, le ZE Loader surveille tous les processus en cours et tue ceux qui sont nécessaires.

Pour créer l'illusion que l'application légitime s'est en fait ouverte, le malware affiche une nouvelle fenêtre contenant des images d'application correspondant à la banque ciblée. Ces images sont stockées sur l'appareil compromis dans le répertoire /JDK_SDK et sont déchiffrées et chargées si nécessaire. Les informations saisies dans la fausse fenêtre sont ensuite obtenues par les acteurs de la menace qui peuvent les exploiter à des fins de fraude financière ou d'autres activités illicites.