Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Opisi virusa, 19.06.2018, 10:00 AM

Rootkit Zacinlo, opasna pretnja korisnicima Windowsa 10

Kada je 2015. objavljen Windows 10, jedna od njegovih glavnih prednosti su bile poboljšane sigurnosne funkcije koje su otežale rutkitovima (rootkit) da steknu uporište u Microsoftovom novom operativnom sistemu.

Ali, tri godine kasnije, istraživači iz rumunske kompanije BitDefender su objavili detaljnu analizu jednog adwarea nazvanog Zacinlo, koji koristi rootkit komponentu da bi ostvario trajno prisustvo i preživljavanje reinstalacija operativnog sistema.

Šta više, istraživači kažu da su 90% svih skorijih žrtava adwarea Zacinlo korisnici Windowsa 10, što pokazuje da su sajber kriminalci ciljano dizajnirali svoj "proizvod" da bi radio protiv Microsoftovog najnovijeg operativnog sistema.

Prema rečima istraživačima, grupa koja stoji iza malvera Zacinlo je u ovom biznisu od 2012. godine, i sve to vreme širi svoj malver. Distribucija adwarea je bila veoma intenzivna, sa velikim pikovima u 2014., 2015., i posebno u 2017. i 2018. Veruje se da je u protekle dve godine, Zacinlo malveru dodata rootkit komponenta koja može da radi na Windowsu 10.

Komponente adwarea tiho instalira downloader - besplatni VPN servis (s5Mark). Ova VPN aplikacija služi kao početna tačka infekcije i kao downloader drugih modula.

Od svih ovih modula, rootkit je najvažniji, jer može da obezbedi adwareu da preživi na zaraženim računarima nedeljama, mesecima ili godinama. Ovaj modul se koristi da zaustavi proces koji se smatra opasnim po funkcionalnosti adwarea dok istovremeno štiti adware da bude zaustavljen ili izbrisan.

Osim rootkita, Zacinlo takođe ima i modul za obavljanje Man-in-the-Middle (MitM) napada za presretanje saobraćaja. Iako ova funkcija može omogućiti presretanje sesija korisnika banaka i mešanje u online plaćanja, Zacinlo je uglavnom koristio ovu funkciju za ubacivanje reklama u web stranice po svom izboru.

Još jedan modul koji se izdvaja je onaj koji može da otkrije i ukloni konkurentski adware. Ovaj modul nije naročito napredan, ali i nije nešto što se često viđa kod adwarea.

Zacinlo prikuplja informacije o sistemu, šalje ih udaljenom serveru za upravljanje i kontrolu i zatim dobija komande sa servera. Ove komande omogućavaju adwareu uklanjanje bilo kog lokalnog servisa koje smatra opasnim, poput onih koji su specifični za antivirusni softver.

Rootkit ima i "screenshoting" modul koji može da slika ekran žrtve, što se često viđa kod trojanaca za daljinski pristup (Remote Access Trojans).

"Ova funkcionalnost ima ogroman uticaj na privatnost jer ovi snimci ekrana mogu da sadrže osetljive informacije kao što su email, instant messaging ili e-banking sesije", kažu iz BitDefendera.

Zacinlo ima i funkciju samoažuriranja pomoću koje unapređuje svoje komponente novim verzijama, sposobnost da instalira bilo koji softver koji želi na sistemima žrtava, i modul za preusmeravanje kako bi doveo korisnike do web stranice po njegovom izboru, kao i modul pomoću koga prikazuje svoje reklame u sesijama browsera korisnika. Malver krišom klikće na reklame i tako zarađuje za sajber kriminalce.

Sve u svemu, Zacinlo je opasna pretnja koja se tiho širila najmanje šest godina, a većina njegovih žrtava su u SAD, Francuskoj, Nemačkoj, Brazilu, Kini, Indiji, Indoneziji i na Filipinima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Hakeri koriste modifikovani program za instalaciju Zooma da bi prevarili ljude da instaliraju IcedID malver na svojim sistemima, upozorili su istraži... Dalje

Posle curenja koda Conti ransomwarea, istraživači upozoravaju na novi ransomware Putin

Posle curenja koda Conti ransomwarea, istraživači upozoravaju na novi ransomware Putin

Istraživači iz Cyble Research and Intelligence Labs (CRIL) otkrili su četiri nova ransomwarea - Putin Team, ScareCrow, BlueSky i Meow, koji su proi... Dalje

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Avast je upozorio da poznati malver za Windows, ViperSoftX, instalira opasnu ekstenziju koja krade podatke u veb pretraživače bazirane na Chromiumu.... Dalje

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poz... Dalje

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Hakerska grupa iz Severne Koreje praćena pod nazivom Kimsuky, koristi ranije nikada viđen malver za čitanje i preuzimanje elektronske pošte i pril... Dalje