Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Opisi virusa, 19.06.2018, 10:00 AM

Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Kada je 2015. objavljen Windows 10, jedna od njegovih glavnih prednosti su bile poboljšane sigurnosne funkcije koje su otežale rutkitovima (rootkit) da steknu uporište u Microsoftovom novom operativnom sistemu.

Ali, tri godine kasnije, istraživači iz rumunske kompanije BitDefender su objavili detaljnu analizu jednog adwarea nazvanog Zacinlo, koji koristi rootkit komponentu da bi ostvario trajno prisustvo i preživljavanje reinstalacija operativnog sistema.

Šta više, istraživači kažu da su 90% svih skorijih žrtava adwarea Zacinlo korisnici Windowsa 10, što pokazuje da su sajber kriminalci ciljano dizajnirali svoj "proizvod" da bi radio protiv Microsoftovog najnovijeg operativnog sistema.

Prema rečima istraživačima, grupa koja stoji iza malvera Zacinlo je u ovom biznisu od 2012. godine, i sve to vreme širi svoj malver. Distribucija adwarea je bila veoma intenzivna, sa velikim pikovima u 2014., 2015., i posebno u 2017. i 2018. Veruje se da je u protekle dve godine, Zacinlo malveru dodata rootkit komponenta koja može da radi na Windowsu 10.

Komponente adwarea tiho instalira downloader - besplatni VPN servis (s5Mark). Ova VPN aplikacija služi kao početna tačka infekcije i kao downloader drugih modula.

Od svih ovih modula, rootkit je najvažniji, jer može da obezbedi adwareu da preživi na zaraženim računarima nedeljama, mesecima ili godinama. Ovaj modul se koristi da zaustavi proces koji se smatra opasnim po funkcionalnosti adwarea dok istovremeno štiti adware da bude zaustavljen ili izbrisan.

Osim rootkita, Zacinlo takođe ima i modul za obavljanje Man-in-the-Middle (MitM) napada za presretanje saobraćaja. Iako ova funkcija može omogućiti presretanje sesija korisnika banaka i mešanje u online plaćanja, Zacinlo je uglavnom koristio ovu funkciju za ubacivanje reklama u web stranice po svom izboru.

Još jedan modul koji se izdvaja je onaj koji može da otkrije i ukloni konkurentski adware. Ovaj modul nije naročito napredan, ali i nije nešto što se često viđa kod adwarea.

Zacinlo prikuplja informacije o sistemu, šalje ih udaljenom serveru za upravljanje i kontrolu i zatim dobija komande sa servera. Ove komande omogućavaju adwareu uklanjanje bilo kog lokalnog servisa koje smatra opasnim, poput onih koji su specifični za antivirusni softver.

Rootkit ima i "screenshoting" modul koji može da slika ekran žrtve, što se često viđa kod trojanaca za daljinski pristup (Remote Access Trojans).

"Ova funkcionalnost ima ogroman uticaj na privatnost jer ovi snimci ekrana mogu da sadrže osetljive informacije kao što su email, instant messaging ili e-banking sesije", kažu iz BitDefendera.

Zacinlo ima i funkciju samoažuriranja pomoću koje unapređuje svoje komponente novim verzijama, sposobnost da instalira bilo koji softver koji želi na sistemima žrtava, i modul za preusmeravanje kako bi doveo korisnike do web stranice po njegovom izboru, kao i modul pomoću koga prikazuje svoje reklame u sesijama browsera korisnika. Malver krišom klikće na reklame i tako zarađuje za sajber kriminalce.

Sve u svemu, Zacinlo je opasna pretnja koja se tiho širila najmanje šest godina, a većina njegovih žrtava su u SAD, Francuskoj, Nemačkoj, Brazilu, Kini, Indiji, Indoneziji i na Filipinima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje