Рекламное программное обеспечение на основе руткит вносит хаос среди пользователей Windows 10 в США

Когда в 2015 году был выпущен Windows 10, одним из его главных преимуществ были улучшенные функции безопасности, которые усложнили для руткитов возможность закрепиться в новой ОС Microsoft.

Но три года спустя исследователи безопасности из расположенного в Румынии производителя антивирусной продукции Bitdefender заявили, что они обнаружили новый рекламный штамп под названием Zacinlo, который использует компонент руткита, чтобы получить постоянство посредством переустановки ОС; компонент руткита, который даже эффективен против установки Windows 10.

Фактически, исследователи говорят, что 90% всех недавних жертв Zacinlo являются пользователями Windows 10, показывая, что мошенники намеренно разработали свой «продукт» для работы с новейшей ОС Microsoft..

Группа Zacinlo действует с 2012

Но было не всегда так. Согласно исследователям группа Zacinlo находится в деле с 2012г и все это время распространяла свою вредоносную программу.

Распространение рекламного ПО произошло в результате резких скачков активности в 2014, 2015 и особенно в 2017 и 2018 годах. Считается, что в эти два последних года Zacinlo добавил свой компонент руткита, который может работать на Windows 10.

«Компоненты рекламного ПО устанавливается по умолчанию загрузчиком, который представлен как бесплатный и анонимный VPN-сервис (s5Mark),» — эксперты Bitdefender писали в отчете размером 104 страницы, в котором подробно описываются способ действия и все его модули, выпущенные сегодня.

Обнаружение мощной угрозы, такой как Zacinlo в приложении s5Mark, не является неожиданностью, поскольку это приложение было ранее классифицировано как PUP ((Potentially Unwanted Program) (потенциально нежелательная программа)) в течение длительного времени [1, 2].

Это приложение для VPN — фактически больше прокси — не делало этого и до сих пор не делает, но оно служит цели начальной точки заражения и «загрузчика» для других модулей Zacinlo.

Из всех этих модулей rootkit является самым важным, так как он может гарантировать, что рекламное ПО выживет на зараженных компьютерах в течение нескольких недель, месяцев или лет.

Кроме того, этот же модуль руткита также используется для остановки процессов, которые считаются опасными для функционирования рекламного программного обеспечения, а также для его защиты от остановки или удаления.

У Zacinlo есть некоторые довольно опасные функции интрузивной конфиденциальности

Существует также модуль для выполнения атак man-in-the-middle (MitM) для перехвата трафика, даже HTTPS. Хотя эта функция позволяет ему перехватывать банковские сессии и вмешиваться в онлайн-платежи, Zacinlo использует эту функцию, главным образом, для рекламы объявлений на любые веб-страницы, которые она хочет.

Еще один модуль, который выделяется, позволяет обнаруживать и удалять конкурирующие рекламные программы. Bitdefender говорит, что этот модуль не очень продвинутый, но является чем-то, что не просматривается в большинстве рекламных сетей.

Zacinlo также поставляется с обычными рекламными компонентами, которые собирают локальную информацию о системе, передают ее удаленному серверу управления, а затем получают от него команды. Эти команды позволяют оригиналу рекламного программного обеспечения удалять любые локальные службы, которые он считает опасными, например, те, которые относятся к программному обеспечению безопасности.

Но помимо руткита и компонента MitM есть еще один модуль Zacinlo, который заставляет вас дрожать, и это его модуль «скриншотов» («screenshoting»), который может забирать screengrabs с экрана жертвы, подобно функции, часто встречающейся в RAT ((remote access trojans) (трояны удаленного доступа)).

«Эта функциональность оказывает огромное влияние на конфиденциальность, так как эти снимки экрана могут содержать конфиденциальную информацию, такую как электронная почта, мгновенные обмены сообщениями или сеансы электронного банкинга», — говорит Bitdefender.

Zacinlo используется, главным образом, для clickjacking и рекламного мошенничества

Кроме того, Zacinlo также предлагает функцию самообновления для того, чтобы обновить свои компоненты новыми версиями; у него также есть возможность установить любое программное обеспечение, которое оно захочет на систему жертвы, например, модуль «перенаправитель» («redirector»), целью которого является заставить пользователей принудительно перейти на веб-страницу или заменитель рекламы (ad replacer), целью которого является проталкивание собственной рекламы в партнерских схемах в сеансах просмотра пользователей.

И последнее, но не менее важное: Zacinlo также управляет браузером, расположенном в Хроме, в фоновом режиме, где он загружает веб-страницы и объявления, на которые он тихо щелкает, чтобы приносить прибыль мошенникам.

В целом, это опасная угроза, которая тихо распространяется в течение шести лет, и большинство ее жертв были замечены в США, а также во Франции, Германии, Бразилии, Китае, Индии, Индонезии и на Филиппинах.