Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Opisi virusa, 19.06.2018, 10:00 AM

Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Kada je 2015. objavljen Windows 10, jedna od njegovih glavnih prednosti su bile poboljšane sigurnosne funkcije koje su otežale rutkitovima (rootkit) da steknu uporište u Microsoftovom novom operativnom sistemu.

Ali, tri godine kasnije, istraživači iz rumunske kompanije BitDefender su objavili detaljnu analizu jednog adwarea nazvanog Zacinlo, koji koristi rootkit komponentu da bi ostvario trajno prisustvo i preživljavanje reinstalacija operativnog sistema.

Šta više, istraživači kažu da su 90% svih skorijih žrtava adwarea Zacinlo korisnici Windowsa 10, što pokazuje da su sajber kriminalci ciljano dizajnirali svoj "proizvod" da bi radio protiv Microsoftovog najnovijeg operativnog sistema.

Prema rečima istraživačima, grupa koja stoji iza malvera Zacinlo je u ovom biznisu od 2012. godine, i sve to vreme širi svoj malver. Distribucija adwarea je bila veoma intenzivna, sa velikim pikovima u 2014., 2015., i posebno u 2017. i 2018. Veruje se da je u protekle dve godine, Zacinlo malveru dodata rootkit komponenta koja može da radi na Windowsu 10.

Komponente adwarea tiho instalira downloader - besplatni VPN servis (s5Mark). Ova VPN aplikacija služi kao početna tačka infekcije i kao downloader drugih modula.

Od svih ovih modula, rootkit je najvažniji, jer može da obezbedi adwareu da preživi na zaraženim računarima nedeljama, mesecima ili godinama. Ovaj modul se koristi da zaustavi proces koji se smatra opasnim po funkcionalnosti adwarea dok istovremeno štiti adware da bude zaustavljen ili izbrisan.

Osim rootkita, Zacinlo takođe ima i modul za obavljanje Man-in-the-Middle (MitM) napada za presretanje saobraćaja. Iako ova funkcija može omogućiti presretanje sesija korisnika banaka i mešanje u online plaćanja, Zacinlo je uglavnom koristio ovu funkciju za ubacivanje reklama u web stranice po svom izboru.

Još jedan modul koji se izdvaja je onaj koji može da otkrije i ukloni konkurentski adware. Ovaj modul nije naročito napredan, ali i nije nešto što se često viđa kod adwarea.

Zacinlo prikuplja informacije o sistemu, šalje ih udaljenom serveru za upravljanje i kontrolu i zatim dobija komande sa servera. Ove komande omogućavaju adwareu uklanjanje bilo kog lokalnog servisa koje smatra opasnim, poput onih koji su specifični za antivirusni softver.

Rootkit ima i "screenshoting" modul koji može da slika ekran žrtve, što se često viđa kod trojanaca za daljinski pristup (Remote Access Trojans).

"Ova funkcionalnost ima ogroman uticaj na privatnost jer ovi snimci ekrana mogu da sadrže osetljive informacije kao što su email, instant messaging ili e-banking sesije", kažu iz BitDefendera.

Zacinlo ima i funkciju samoažuriranja pomoću koje unapređuje svoje komponente novim verzijama, sposobnost da instalira bilo koji softver koji želi na sistemima žrtava, i modul za preusmeravanje kako bi doveo korisnike do web stranice po njegovom izboru, kao i modul pomoću koga prikazuje svoje reklame u sesijama browsera korisnika. Malver krišom klikće na reklame i tako zarađuje za sajber kriminalce.

Sve u svemu, Zacinlo je opasna pretnja koja se tiho širila najmanje šest godina, a većina njegovih žrtava su u SAD, Francuskoj, Nemačkoj, Brazilu, Kini, Indiji, Indoneziji i na Filipinima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Stručnjaci firme ThreatFabric su upozorili na novu verziju malvera LightSpy, koja je dizajnirana za Appleove Mac računare. Ovo je vest zbog toga št... Dalje

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Novi ATM malver za bankomate pojavio se u Evropi. Reč je o malveru koji se prodaje na jednom hakerskom forumu pod nazivom „EU ATM Malware&ldquo... Dalje

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Mac računari su meta novog opasnog malvera nazvanog Cuckoo (Kukavica). Reč je o trojancu sakrivenom u legitimnom softveru kao što je Spotify, koji ... Dalje

Lažni cheat-ovi šire malver među gejmerima

Lažni cheat-ovi šire malver među gejmerima

Istraživači malvera iz kompanije McAfee otkrili su novi malver za krađu informacija koji je povezan sa malverom Redline. Malver se predstavlja se k... Dalje

Ruski backdoor u mrežama kompanija u istočnoj Evropi

Ruski backdoor u mrežama kompanija u istočnoj Evropi

Istraživači iz finske kompanije za sajber bezbednost WithSecure detaljno su opisali malo poznati ruski backdoor malver koji se koristi u napadima na... Dalje