Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Opisi virusa, 19.06.2018, 10:00 AM

Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Kada je 2015. objavljen Windows 10, jedna od njegovih glavnih prednosti su bile poboljšane sigurnosne funkcije koje su otežale rutkitovima (rootkit) da steknu uporište u Microsoftovom novom operativnom sistemu.

Ali, tri godine kasnije, istraživači iz rumunske kompanije BitDefender su objavili detaljnu analizu jednog adwarea nazvanog Zacinlo, koji koristi rootkit komponentu da bi ostvario trajno prisustvo i preživljavanje reinstalacija operativnog sistema.

Šta više, istraživači kažu da su 90% svih skorijih žrtava adwarea Zacinlo korisnici Windowsa 10, što pokazuje da su sajber kriminalci ciljano dizajnirali svoj "proizvod" da bi radio protiv Microsoftovog najnovijeg operativnog sistema.

Prema rečima istraživačima, grupa koja stoji iza malvera Zacinlo je u ovom biznisu od 2012. godine, i sve to vreme širi svoj malver. Distribucija adwarea je bila veoma intenzivna, sa velikim pikovima u 2014., 2015., i posebno u 2017. i 2018. Veruje se da je u protekle dve godine, Zacinlo malveru dodata rootkit komponenta koja može da radi na Windowsu 10.

Komponente adwarea tiho instalira downloader - besplatni VPN servis (s5Mark). Ova VPN aplikacija služi kao početna tačka infekcije i kao downloader drugih modula.

Od svih ovih modula, rootkit je najvažniji, jer može da obezbedi adwareu da preživi na zaraženim računarima nedeljama, mesecima ili godinama. Ovaj modul se koristi da zaustavi proces koji se smatra opasnim po funkcionalnosti adwarea dok istovremeno štiti adware da bude zaustavljen ili izbrisan.

Osim rootkita, Zacinlo takođe ima i modul za obavljanje Man-in-the-Middle (MitM) napada za presretanje saobraćaja. Iako ova funkcija može omogućiti presretanje sesija korisnika banaka i mešanje u online plaćanja, Zacinlo je uglavnom koristio ovu funkciju za ubacivanje reklama u web stranice po svom izboru.

Još jedan modul koji se izdvaja je onaj koji može da otkrije i ukloni konkurentski adware. Ovaj modul nije naročito napredan, ali i nije nešto što se često viđa kod adwarea.

Zacinlo prikuplja informacije o sistemu, šalje ih udaljenom serveru za upravljanje i kontrolu i zatim dobija komande sa servera. Ove komande omogućavaju adwareu uklanjanje bilo kog lokalnog servisa koje smatra opasnim, poput onih koji su specifični za antivirusni softver.

Rootkit ima i "screenshoting" modul koji može da slika ekran žrtve, što se često viđa kod trojanaca za daljinski pristup (Remote Access Trojans).

"Ova funkcionalnost ima ogroman uticaj na privatnost jer ovi snimci ekrana mogu da sadrže osetljive informacije kao što su email, instant messaging ili e-banking sesije", kažu iz BitDefendera.

Zacinlo ima i funkciju samoažuriranja pomoću koje unapređuje svoje komponente novim verzijama, sposobnost da instalira bilo koji softver koji želi na sistemima žrtava, i modul za preusmeravanje kako bi doveo korisnike do web stranice po njegovom izboru, kao i modul pomoću koga prikazuje svoje reklame u sesijama browsera korisnika. Malver krišom klikće na reklame i tako zarađuje za sajber kriminalce.

Sve u svemu, Zacinlo je opasna pretnja koja se tiho širila najmanje šest godina, a većina njegovih žrtava su u SAD, Francuskoj, Nemačkoj, Brazilu, Kini, Indiji, Indoneziji i na Filipinima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje