Adware basado en rootkit ataca a usuarios en los EEUU
Bitdefender descubrieron una nueva cepa de adware llamada Zacinlo que usa un componente de rootkit para ganar persistencia en las reinstalaciones del sistema operativo un componente de rootkit que incluso es efectivo contra las instalaciones de Windows 10.
De hecho, los investigadores dicen que el 90% de todas las víctimas recientes de Zacinlo son usuarios de Windows 10, lo que demuestra que los ladrones diseñaron intencionalmente su "producto" para trabajar contra el último sistema operativo de Microsoft.
Grupo Zacinlo activo desde 2012
Pero no siempre fue así. Según los investigadores, el grupo detrás de Zacinlo ha estado en el negocio desde 2012, y han estado distribuyendo su malware todo este tiempo.
La distribución del adware llegó en oleadas de actividad, con grandes picos en 2014, 2015, y especialmente en 2017 y 2018. Se cree que en estos dos últimos años, Zacinlo agregó su componente de rootkit que puede funcionar en Windows 10.
"Los componentes de adware son instalados silenciosamente por un programa de descarga que se presenta como un servicio VPN libre y anónimo (s5Mark)", escribieron los expertos de Bitdefender en un informe de 102 páginas que detalla el modus operandi de Zacinlo y todos sus módulos publicados.
Encontrar una poderosa amenaza como Zacinlo en la aplicación s5Mark no es una sorpresa, ya que esta aplicación fue categorizada previamente como PUP (Programa potencialmente no deseado) durante mucho tiempo.
Aplicación s5Mark VPN
Esta aplicación VPN -actualmente más de un proxy- no hizo y aún no hace mucho, para empezar, pero cumple su función de punto de infección inicial y "descargador" para otros módulos de Zacinlo.
De todos estos módulos, el rootkit es el más importante, ya que puede garantizar que el adware sobreviva en los hosts infectados durante semanas, meses o años.
Además, este mismo módulo de rootkit también se utiliza para detener los procesos que se consideran peligrosos para la funcionalidad del adware, al tiempo que se evita que el adware se detenga o elimine.
Zacinlo tiene algunas características intrusivas de privacidad bastante peligrosas
También hay un módulo para llevar a cabo ataques Man-in-the-middle (MitM) para interceptar el tráfico, incluso uno HTTPS. Si bien esta característica podría permitirle interceptar las sesiones bancarias y alterar los pagos en línea, Zacinlo ha estado utilizando esta característica principalmente para inyectar anuncios en cualquier página web que desee.
Otro módulo que se destaca es uno que puede detectar y eliminar adware competitivo. Bitdefender dice que este módulo no es muy avanzado, pero es algo que no se ve en la mayoría de las familias de adware.
Zacinlo también viene con componentes de adware comunes que recolectan información del sistema local, la transmiten a un comando remoto y controlan el servidor, y luego reciben los comandos del mismo. Estos comandos permiten que el maestro de adware desinstale o elimine cualquier servicio local que considere peligroso, como los específicos del software de seguridad.
Pero además del rootkit y el componente MitM hay otro módulo de Zacinlo que te envía escalofríos por la espalda, y ese es su módulo de "captura de pantalla" que puede quitar screengrabs de la pantalla de la víctima, similar a una característica que se encuentra a menudo en las RAT (troyanos de acceso remoto).
"Esta funcionalidad tiene un impacto enorme en la privacidad, ya que estas capturas de pantalla pueden contener información sensible como correo electrónico, mensajería instantánea o sesiones de banca electrónica", dice Bitdefender.
Zacinlo se utiliza principalmente para hacer clic y fraudes publicitarios
Además, Zacinlo también viene con una función de actualización automática para actualizar sus componentes con nuevas versiones, la capacidad de instalar cualquier software que desee en los sistemas de las víctimas, un módulo de "redirección" para que los usuarios naveguen forzadamente a una página web, y un Sustituto de anuncios para impulsar sus propios anuncios como parte de los esquemas de afiliados en las sesiones de navegación de los usuarios.
Por último, pero no menos importante, Zacinlo también ejecuta un navegador sin cabeza basado en Chromium en el fondo, donde carga páginas web y anuncios en los que hace clic silenciosamente para generar ganancias para delincuentes.
En general, esta es una peligrosa amenaza que se ha extendido silenciosamente durante al menos seis años, y la mayoría de sus víctimas han sido detectadas en los EE. UU., Y otras también se han visto en Francia, Alemania, Brasil, China, India, Indonesia y Filipinas.