Румынские специалисты в сфере информационной безопасности обнаружили рекламный троян с возможностями шпиона. Программа внедряется в операционную систему и отключает потенциально опасные для себя процессы. Зловред успешно обходит даже контур защиты Windows 10, ранее нечувствительный к таким атакам.

По мнению исследователей, стоящая за созданием Zacinlo группа работает над этим проектом с 2012 года. За это время очаги заражения обнаруживались в США, Франции, Германии, странах Юго-Восточной Азии и Китае.

Предыдущий пик ее активности пришелся на 2017 и 2018 годы. Специалисты связывают это с добавлением в арсенал зловреда нового руткита, способного обходить системы защиты Windows 10. В данный момент на долю этой ОС приходится 89% известных случаев заражения.

Троян распространяется под видом VPN-утилиты s5Mark. Программа предоставляет возможность работы в Интернете через прокси-серверы и параллельно устанавливает на компьютер пользователя компоненты Zacinlo.

Чтобы скрыть присутствие нежелательного приложения на устройстве и обеспечить беспрепятственный показ объявлений, в корневые папки операционной системы внедряется руткит. С его помощью зловред останавливает работу приложений, которые могут представлять для него опасность.

Однако открытием рекламных окон возможности Zacinlo не ограничиваются. Один из модулей программы перехватывает интернет-трафик устройства, в том числе передаваемый по защищенному протоколу HTTPS. Классическая атака «человек посередине» может быть использована для компрометации банковских транзакций, но в настоящее время зловред использует ее только для встраивания рекламных объявлений.

Программа регулярно связывается с командным сервером для загрузки новых баннеров и обновления собственных компонентов. По информации специалистов, зловред также отправляет преступникам сведения о скомпрометированной системе. Zacinlo отслеживает активность других рекламных троянов и при необходимости останавливает их работу.

Беспокойство специалистов вызывает нетипичная для подобных программ способность зловреда создавать скриншот активного окна. Исследователи подчеркивают, что с ее помощью преступники могут похищать конфиденциальную информацию, такую как номера банковских карт и адреса электронной почты.

Тем не менее, основная задача Zacinlo — зарабатывать для своих создателей на рекламе. Программа перенаправляет пользователя на сайты с коммерческими объявлениями, а также в фоновом режиме открывает свой собственный браузер на базе Chromium. Последний от имени жертвы посещает интернет-площадки, которые платят злоумышленникам за входящий трафик.

Несмотря на относительную безвредность рекламных троянов, они являются серьезной проблемой в области информационной безопасности. В погоне за прибылью злоумышленники даже внедряются в цепочки поставок мобильных телефонов, которые попадают на прилавок с adware в составе заводской прошивки.

Категории: Вредоносные программы