Het vooraanstaande Roemeense cyberbeveiligings- en antivirussoftwarebedrijf Bitdefender heeft het nieuwste veerkrachtige wapen onthuld voor oplichters die Windows-besturingssystemen willen doorbreken: een stukje adware dat de onderzoekers Zacinlo noemen.
Het blijkt dat ongeveer 2500 machines sinds 2012 een nep-VPN-toepassing hebben geïnstalleerd, S5Mark genaamd, die, buiten medeweten van de gebruikers van de machines, werd geleverd met dit geavanceerde stukje adware.
Wat te doen
Het verwijderen van een Zacinlo-infectie is vrij moeilijk, maar een Bitdefender-onderzoeker vertelde ZDNet dat de beste manier zou zijn om een antivirushersteldiskette te gebruiken, die een USB-stick of optische schijf gebruikt om de geïnfecteerde machine op te starten in een gespecialiseerde vorm van Linux die vervolgens de Windows-station zonder Windows uit te voeren. Reddingsschijfkopieën worden gratis aangeboden door veel antivirusleveranciers -- Bitdefender heeft hier instructies om er een te maken.
MEER: Beste antivirussoftware en apps
Waar komt Zacinlo vandaan?
De meesterbreinen achter Zacinlo verspreiden het sinds 2012 en zouden het ergens in de afgelopen twee jaar voor Windows 10 hebben geoptimaliseerd.
De activiteit van Zacinlo kende grote pieken in 2014 en 2015, maar de adware was het meest actief aan het einde van 2022-2023. De slachtoffers zijn sterk geconcentreerd in de VS en op Windows 10-machines - ongeveer 90 procent van de met Zacinlo geïnfecteerde systemen draaide Windows 10.
Twee factoren maken Zacinlo nu een grotere bedreiging dan een jaar geleden. Ten eerste kan het de meeste traditionele verdedigingen tegen malware overleven. De adware kan de configuratie-informatie van uw systeem uploaden naar een externe command-and-control-server voor analyse. De command-and-control-server kan dan de adware opdracht geven om andere toepassingen op uw computer uit te schakelen en te verwijderen, namelijk uw antivirus- en antimalwareprogramma's, evenals concurrerende soorten adware.
Ten tweede is Zacinlo nu een rootkit die op het laagste niveau van het besturingssysteem werkt, waardoor het erg moeilijk te detecteren is. Het schrijft ook herinstallatie-informatie naar het Windows-register, zodat het herstart en misschien zelfs systeemupgrades zal overleven.
Bovendien is het gevaarlijk. Zacinlo is (tot nu toe) voornamelijk ingezet om advertenties in webpagina's te injecteren en om een "headless browser" (een onzichtbare browser zonder gebruikersinterface) te gebruiken om op advertenties op de achtergrond van de computers van slachtoffers te klikken.
Het kan knoeien met online betalingen
Maar de adware is in staat tot meer sinistere zaken. Omdat het een gestolen gebruikt, is het ook in staat om zelfs versleutelde communicatie te onderscheppen, waardoor het uw online betalingen kan bekijken en ermee kan knoeien.
Het kan browserverzoeken omleiden, wat betekent dat het valse webpagina's kan laden die er precies zo uitzien als het echte werk. En het bevat een module die op afstand schermafbeeldingen van je scherm kan maken en overdragen -- wat een groot deel van je persoonlijke informatie in gevaar kan brengen.
Bottom Line
Deze ontdekking zou moeten dienen als een wake-up call: download geen duistere software. Doe je onderzoek voordat je VPN-software installeert en zorg ervoor dat je erop kunt vertrouwen.