Znana rumuńska firma Bitdefender, zajmująca się bezpieczeństwem cybernetycznym i oprogramowaniem antywirusowym, ujawniła najnowszą odporną broń dla oszustów chcących włamać się do systemów operacyjnych Windows: oprogramowanie adware, które badacze nazywają Zacinlo.
Okazuje się, że od 2012 roku około 2500 maszyn zainstalowało fałszywą aplikację VPN o nazwie S5Mark, która, bez wiedzy użytkowników maszyn, została dołączona do tego wyrafinowanego oprogramowania reklamowego.
Co robić
Usunięcie infekcji Zacinlo jest dość trudne, ale badacz Bitdefender powiedział ZDNet, że najlepszym sposobem byłoby użycie antywirusowego dysku ratunkowego, który używa pamięci USB lub dysku optycznego do uruchomienia zainfekowanej maszyny w wyspecjalizowanej formie Linuksa, która następnie skanuje Napęd systemu Windows bez uruchamiania systemu Windows. Obrazy dysków ratunkowych są oferowane za darmo przez wielu dostawców oprogramowania antywirusowego - Bitdefender ma instrukcje, jak je utworzyć tutaj.
WIĘCEJ: Najlepsze oprogramowanie i aplikacje antywirusowe
Skąd się wziął Zacinlo?
Twórcy Zacinlo rozpowszechniali go od 2012 roku i uważa się, że zoptymalizowali go pod kątem Windows 10 w ciągu ostatnich dwóch lat.
Aktywność Zacinlo odnotowała duże skoki w 2014 i 2015 roku, ale adware było najbardziej aktywne pod koniec 2022-2023. Jego ofiary są silnie skoncentrowane w Stanach Zjednoczonych i na komputerach z systemem Windows 10 – około 90 procent systemów zainfekowanych przez Zacinlo korzystało z systemu Windows 10.
Dwa czynniki sprawiają, że Zacinlo jest teraz większym zagrożeniem niż rok temu. Po pierwsze, może przetrwać większość tradycyjnych zabezpieczeń przed złośliwym oprogramowaniem. Adware jest w stanie przesłać informacje o konfiguracji twojego systemu na zdalny serwer dowodzenia i kontroli w celu analizy. Serwer dowodzenia i kontroli może następnie poinstruować oprogramowanie reklamowe, aby wyłączyło i odinstalowało inne aplikacje na komputerze - a mianowicie programy antywirusowe i chroniące przed złośliwym oprogramowaniem, a także konkurencyjne szczepy oprogramowania reklamowego.
Po drugie, Zacinlo jest teraz rootkitem, działającym na najniższym poziomie systemu operacyjnego, co bardzo utrudnia jego wykrycie. Zapisuje również informacje o ponownej instalacji w rejestrze systemu Windows, dzięki czemu przetrwa ponowne uruchomienie, a być może nawet uaktualnienie systemu.
Dodatkowo jest to niebezpieczne. Zacinlo był (jak dotąd) wykorzystywany głównie do wstrzykiwania reklam na strony internetowe i uruchamiania „bezgłowej przeglądarki” (niewidocznej przeglądarki bez interfejsu użytkownika) do klikania reklam w tle komputerów ofiar.
Może zepsuć płatności online
Ale to adware jest zdolne do bardziej złowrogiego biznesu. Ponieważ używa skradzionego, jest również w stanie przechwycić nawet zaszyfrowaną komunikację, co może umożliwić mu przeglądanie i manipulowanie płatnościami online.
Może przekierowywać żądania przeglądarki, co oznacza, że może ładować fałszywe strony internetowe, które wyglądają dokładnie tak, jak prawdziwe. Zawiera też moduł, który może zdalnie wykonywać i przesyłać zrzuty ekranu z ekranu - co może narazić na szwank wiele Twoich danych osobowych.
Dolna linia
To odkrycie powinno być sygnałem ostrzegawczym: nie pobieraj podejrzanego oprogramowania. Przed zainstalowaniem oprogramowania VPN przeprowadź badania i upewnij się, że jest to takie, któremu możesz zaufać.