Bitdefender ha scoperto Zacinlo, un nuovo malware specializzato in truffe legate all’advertising. Dopo aver infettato il PC, avvia istanze del browser invisibili su cui carica banner pubblicitari e simula clic da parte dell’utente. In alternativa sostituisce i banner normalmente presenti nella finestra del browser con gli annunci dell’aggressore, per ottenerne ricavi.
Negli ultimi anni, la linea di demarcazione tra adware e spyware è diventata sempre meno netta. Gli adware moderni combinano clausole di recesso aggressive a termini legali e di marketing spesso confusi, insieme a meccanismi di persistenza estremamente sofisticati, mirati a ridurre il controllo da parte dell’utente.
Zacinlo illustra è uno spyware estremamente sofisticato, che si è diffuso segretamente a partire dall’inizio del 2012, generando utili per chi lo gestisce e compromettendo la privacy delle vittime.
Questo specifico malware è diffuso soprattutto negli Stati Uniti e dimostra una certa affinità con Windows 10. Anche Francia e Germania rientrano tra i paesi colpiti dall’infezione, ma in misura leggermente inferiore rispetto agli USA. In Italia non sono ancora state scoperte infezioni significative ma, trattandosi di un malware che sembra interessato a colpire paesi europei, è importante conoscerne le caratteristiche per poter prevenire e riconoscere tempestivamente i sintomi.
Panoramica
L’anno scorso, i ricercatori si sono imbattuti in un rootkit dotato di firma digitale in grado di installarsi sulla maggior parte dei sistemi che utilizzano Windows, incluse le versioni più recenti di Windows 10. Poiché al giorno d’oggi i rootkit rappresentano meno dell’1% degli attacchi malware rilevati a livello globale, questa circostanza ha immediatamente attirato l’attenzione degli esperti, spingendoli ad avviare una vasta indagine su questo payload, sulla sua origine e sulla sua diffusione.
In base alle informazioni raccolte, l’adware è attivo fin dal 2012-2013. Sono stati identificati almeno 25 diversi componenti, in quasi 2.500 campioni distinti. Monitorando l’adware, è stato possibile notare che alcuni componenti venivano costantemente aggiornati con nuove funzionalità, sfruttate direttamente o integrate in altri componenti. Questa circostanza rafforza l’ipotesi iniziale, secondo cui l’adware continua ad essere sviluppato.
Osservando il meccanismo di comunicazione dell’adware, i ricercatori hanno rilevato un gran numero di domini acquistati da Enom, che agivano come centri di comando e controllo.
Le caratteristiche di Zacinlo che hanno attirato l’attenzione dei ricercatori sono:
- La presenza di un driver rootkit che protegge se stesso e tutti gli altri componenti. È in grado di arrestare processi ritenuti pericolosi per il funzionamento dell’adware, impedendone così l’eliminazione o la terminazione. Sono presenti inoltre capacità man-in-the-browser che intercettano e decrittano le comunicazioni SSL. In questo modo il malware può inoculare codice JavaScript personalizzato nelle pagine Web visitate dall’utente. I malware basati su rootkit sono estremamente rari e di solito rappresentano meno dell’1% delle minacce rilevate ogni giorno. Sono anche molto difficili da rimuovere, a causa della loro elevata integrazione con il sistema operativo.
- Include una routine di eliminazione degli adware, usata per rimuovere i potenziali adware ”concorrenti”. Si tratta di una routine piuttosto generica, che non prende di mira un particolare tipo o famiglia di adware.
- Esfiltra informazioni relative al computer infettato. Queste informazioni comprendono l’eventuale installazione di una soluzione anti-malware (e in caso affermativo, quale), quali applicazioni vengono eseguite all’avvio del PC e così via.
- Acquisisce immagini delle schermate del desktop e le invia al centro di controllo e comando per farle analizzare. Questa funzionalità ha un enorme impatto sulla privacy, poiché queste schermate possono contenere dati sensibili su e-mail, messaggi o sessioni di e-banking.
- Può installare praticamente qualsiasi software in un attimo, estendendo così le proprie funzionalità.
- Aggiunge o sostituisce banner pubblicitari del browser effettuando una ricerca di oggetti DOM in base a dimensioni, stile, categorie o specifiche espressioni ricorrenti.
- Sfrutta diverse piattaforme da cui estrarre l’advertising, incluso Google AdSense.
- Esegue segretamente pagine Web in background, all’interno di finestre nascoste, e interagisce con esse come farebbe un normale utente: scorrendole, facendo clic e inserendo input tramite tastiera. Si tratta di un comportamento tipico delle frodi pubblicitarie, che comporta danni economici significativi per le piattaforme di advertising online.
- Utilizza in modo estensivo progetti e librerie open-source (ad es. chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
- Scarica diversi componenti tramite script Lua (molto probabilmente per evitare di essere individuato da soluzioni che rilevano e bloccano download sospetti).
- Ha una struttura estremamente configurabile e altamente modulare, che gli permette di espandere le sue funzionalità tramite script e file di configurazione messi a disposizione dall’infrastruttura di comando e controllo.
