Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Opisi virusa, 19.06.2018, 10:00 AM

Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Kada je 2015. objavljen Windows 10, jedna od njegovih glavnih prednosti su bile poboljšane sigurnosne funkcije koje su otežale rutkitovima (rootkit) da steknu uporište u Microsoftovom novom operativnom sistemu.

Ali, tri godine kasnije, istraživači iz rumunske kompanije BitDefender su objavili detaljnu analizu jednog adwarea nazvanog Zacinlo, koji koristi rootkit komponentu da bi ostvario trajno prisustvo i preživljavanje reinstalacija operativnog sistema.

Šta više, istraživači kažu da su 90% svih skorijih žrtava adwarea Zacinlo korisnici Windowsa 10, što pokazuje da su sajber kriminalci ciljano dizajnirali svoj "proizvod" da bi radio protiv Microsoftovog najnovijeg operativnog sistema.

Prema rečima istraživačima, grupa koja stoji iza malvera Zacinlo je u ovom biznisu od 2012. godine, i sve to vreme širi svoj malver. Distribucija adwarea je bila veoma intenzivna, sa velikim pikovima u 2014., 2015., i posebno u 2017. i 2018. Veruje se da je u protekle dve godine, Zacinlo malveru dodata rootkit komponenta koja može da radi na Windowsu 10.

Komponente adwarea tiho instalira downloader - besplatni VPN servis (s5Mark). Ova VPN aplikacija služi kao početna tačka infekcije i kao downloader drugih modula.

Od svih ovih modula, rootkit je najvažniji, jer može da obezbedi adwareu da preživi na zaraženim računarima nedeljama, mesecima ili godinama. Ovaj modul se koristi da zaustavi proces koji se smatra opasnim po funkcionalnosti adwarea dok istovremeno štiti adware da bude zaustavljen ili izbrisan.

Osim rootkita, Zacinlo takođe ima i modul za obavljanje Man-in-the-Middle (MitM) napada za presretanje saobraćaja. Iako ova funkcija može omogućiti presretanje sesija korisnika banaka i mešanje u online plaćanja, Zacinlo je uglavnom koristio ovu funkciju za ubacivanje reklama u web stranice po svom izboru.

Još jedan modul koji se izdvaja je onaj koji može da otkrije i ukloni konkurentski adware. Ovaj modul nije naročito napredan, ali i nije nešto što se često viđa kod adwarea.

Zacinlo prikuplja informacije o sistemu, šalje ih udaljenom serveru za upravljanje i kontrolu i zatim dobija komande sa servera. Ove komande omogućavaju adwareu uklanjanje bilo kog lokalnog servisa koje smatra opasnim, poput onih koji su specifični za antivirusni softver.

Rootkit ima i "screenshoting" modul koji može da slika ekran žrtve, što se često viđa kod trojanaca za daljinski pristup (Remote Access Trojans).

"Ova funkcionalnost ima ogroman uticaj na privatnost jer ovi snimci ekrana mogu da sadrže osetljive informacije kao što su email, instant messaging ili e-banking sesije", kažu iz BitDefendera.

Zacinlo ima i funkciju samoažuriranja pomoću koje unapređuje svoje komponente novim verzijama, sposobnost da instalira bilo koji softver koji želi na sistemima žrtava, i modul za preusmeravanje kako bi doveo korisnike do web stranice po njegovom izboru, kao i modul pomoću koga prikazuje svoje reklame u sesijama browsera korisnika. Malver krišom klikće na reklame i tako zarađuje za sajber kriminalce.

Sve u svemu, Zacinlo je opasna pretnja koja se tiho širila najmanje šest godina, a većina njegovih žrtava su u SAD, Francuskoj, Nemačkoj, Brazilu, Kini, Indiji, Indoneziji i na Filipinima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Sezona praznične kupovine uskoro počinje, pa ne bi bilo loše imati na umu novi malver koji krade podatke sa platnih kartica, koristeći steganograf... Dalje