Zacinlo ,Malware prend des captures d’écran des ordinateurs de bureau des utilisateurs et fonctionne en mode silencieux depuis six ans.
Les chercheurs ont découvert un logiciel de publicité sophistiqué à base de rootkit, principalement utilisé sur les appareils Windows 10, qui opérait secrètement depuis six ans.
Surnommé Zacinlo, ce virus rare fonctionne généralement en affichant des pages Web en arrière-plan dans des fenêtres masquées pour simuler des clics et des interactions au clavier, ou peut remplacer les publicités chargées naturellement dans un navigateur Web ouvert par ses propres publicités pour générer des revenus.
Non détectable :
Le logiciel malveillant, qui fait l’objet d’une enquête approfondie de la part de la société de sécurité Bitdefender, est doté d’un ensemble sophistiqué de fonctionnalités lui permettant de rester non détecté, et même d’annuler toute «concurrence», avec une routine de nettoyage du logiciel de publicité permettant de supprimer les éventuels rivaux de l’adware.
Fonctionnalité :
Il peut également désinstaller ou supprimer des services en fonction des instructions reçues de l’infrastructure de commande et de contrôle, à laquelle il envoie régulièrement des informations sur son environnement, notamment le type de service anti-programme malveillant pouvant être installé et les applications exécutées au démarrage.
L’une de ses caractéristiques les plus inquiétantes est une atteinte importante à la vie privée. Zacinlo est capable de prendre des captures d’écran du bureau d’un utilisateur et de les envoyer à son centre de commande et de contrôle pour analyse.
Rapports des chercheurs
Les chercheurs en sécurité de Bitdefender ont été informés l’année dernière du logiciel de publicité à base de rootkit, publiant les résultats de son analyse dans un livre blanc .
« Etant donné que les rootkits représentent aujourd’hui moins de 1% des programmes malveillants que nous voyons dans le monde, nous avons immédiatement attiré notre attention et nous avons incité à effectuer une analyse approfondie de la charge utile, de ses origines et de sa propagation », indique le rapport.
« Nous avons découvert une vaste opération dont le composant central est un adware très sophistiqué avec de multiples fonctionnalités. »
Au cours de son enquête, Bitdefender a appris que le logiciel de publicité fonctionnait secrètement depuis 2012/2013 avec au moins 25 composants différents dans près de 2 500 échantillons distincts. Bien que les composants remontent à 2012, le logiciel de publicité était le plus actif vers la fin de 2017.
Les chercheurs ont également appris que la fonctionnalité de nombreux composants de Zacinlo était en mutation constante tout au long de son suivi. avec des fonctionnalités mises à jour, abandonnées ou intégrées à d’autres composants, indiquant que celui-ci est en cours de développement.
La grande majorité des échantillons suivis ont été repérés aux États-Unis, une poignée en France, en Allemagne, au Brésil, en Chine, en Indonésie, aux Philippines et plusieurs infections au Royaume-Uni.
Avec Windows 10
De manière significative, bien que Windows 10 soit doté de la technologie intégrée pour protéger les utilisateurs des rootkits , la grande majorité des échantillons, 90%, ont été trouvés sur des appareils exécutant le dernier système d’exploitation de Microsoft.
« Tout en générant des revenus incalculables pour les entreprises qui exécutent ces programmes, les logiciels publicitaires ont connu des améliorations constantes au fil des ans, à la fois en termes de collecte de données et de résilience au retrait », a déclaré Bogdan Botenzatu, analyste senior de la menace électronique chez Bitdefender.
« La ligne de démarcation entre adware et spyware est devenue de plus en plus floue au cours des dernières années, car l’adware moderne associe des désabonnements agressifs à des conditions juridiques et marketing confuses, ainsi qu’à des mécanismes de persistance extrêmement sophistiqués visant à soustraire le contrôle à l’utilisateur. »
Botenzatu a déclaré à IT Pro : « Zacinlo était une surprise inattendue dans le paysage plus vaste de la cybersécurité, dominé actuellement par les ransomwares et les malwares crypto-jacking.
« La découverte de logiciels malveillants basés sur des rootkits qui affectent principalement Windows 10 constitue une preuve suffisante que des » indépendants « exploitants de logiciels malveillants trouvent des niches lucratives dans un paysage de menaces dominé par le crypto-ransomware et l’exploitation illégale de la monnaie numérique. »
Conclusion
Zacinlo est la dernière d’une série de programmes malveillants sophistiqués découverts par les chercheurs ces derniers mois. De même, Bitdefender a détecté un outil d’accès distant, nommé RadRAT , qui fonctionnait auparavant sans être détecté depuis 2015 et qui offre aux attaquants un contrôle total sur les ordinateurs saisis.
Kaspersky Lab a découvert le mois dernier que Roaming Mantis , qui utilise le piratage DNS pour rediriger les utilisateurs vers des sites de phishing utilisant un script de chiffrement de cryptage Coin Hive, s’est rapidement répandu dans le monde entier après avoir émergé quelques mois auparavant dans une poignée de pays, dont le Japon et l’Inde.