Bitdefender scova il malware che simula banner e advertising

News
EyePyramid, Trend Micro spiega come funziona il malware

Bitdefender ha scoperto un nuovo malware chiamato Zacinlo, specializzato in truffe legate all’advertising. Dopo aver infettato il PC dell’utente, avvia istanze del browser invisibili su cui carica banner pubblicitari e simula clic da parte dell’utente

Bitdefender ha scoperto un nuovo malware chiamato Zacinlo, specializzato in truffe legate all’advertising. Dopo aver infettato il PC dell’utente, avvia istanze del browser invisibili su cui carica banner pubblicitari e simula clic da parte dell’utente. In alternativa sostituisce i banner normalmente presenti nella finestra del browser con gli annunci dell’aggressore, per ottenerne ricavi. Questo specifico malware è diffuso soprattutto negli Stati Uniti e dimostra una certa affinità con Windows 10.

Anche Francia e Germania rientrano tra i paesi colpiti dall’infezione, ma in misura leggermente inferiore rispetto agli Stati Uniti. Per l’Italia Bitdefender fa sapere di non aver ancora scoperto infezioni significative ma, come questo malware si indirizza ai paesi europei, quindi meglio stare in allerta.

La minaccia in ambito finanziario del Trojan Dridex4
malware

Le caratteristiche di Zacinlo che hanno attirato la nostra attenzione sono:
• La presenza di un driver rootkit che protegge se stesso e tutti gli altri componenti. È in grado di arrestare processi ritenuti pericolosi per il funzionamento dell’adware, impedendone così l’eliminazione o la terminazione. La presenza di capacità man-in-the-browser che intercettano e decrittano le comunicazioni SSL. In questo modo il malware può inoculare codice JavaScript personalizzato nelle pagine Web visitate dall’utente. I malware basati su rootkit sono rari e di solito rappresentano meno dell’1% delle minacce che rileviamo ogni giorno. Sono anche molto difficili da rimuovere, a causa della loro elevata integrazione con il sistema operativo.
• Include una routine di eliminazione degli adware, usata per rimuovere i potenziali adware „concorrenti”. Si tratta di una routine piuttosto generica, che non prende di mira un particolare tipo o famiglia di adware.
• Esfiltra informazioni relative al computer infettato. Queste informazioni comprendono l’eventuale installazione di una soluzione anti-malware (e in caso affermativo, quale), quali applicazioni vengono eseguite all’avvio del PC e così via.
• Acquisisce immagini delle schermate del desktop e le invia al centro di controllo e comando per farle analizzare. Questa funzionalità ha un enorme impatto sulla privacy, poiché queste schermate possono contenere dati sensibili su e-mail, messaggi o sessioni di e-banking.
• Può installare praticamente qualsiasi software in un attimo, estendendo così le proprie funzionalità.
• Aggiunge o sostituisce banner pubblicitari del browser effettuando una ricerca di oggetti DOM in base a dimensioni, stile, categorie o specifiche espressioni ricorrenti.
• Sfrutta diverse piattaforme da cui estrarre l’advertising, incluso Google AdSense.
• Esegue segretamente pagine Web in background, all’interno di finestre nascoste, e interagisce con esse come farebbe un normale utente: scorrendole, facendo clic e inserendo input tramite tastiera. Si tratta di un comportamento tipico delle frodi pubblicitarie, che comporta danni economici significativi per le piattaforme di advertising online.
• Utilizza in modo estensivo progetti e librerie open-source (ad es. chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
• Scarica diversi componenti tramite script Lua (molto probabilmente per evitare di essere individuato da soluzioni che rilevano e bloccano download sospetti).
• Ha una struttura estremamente configurabile e altamente modulare, che gli permette di espandere le sue funzionalità tramite script e file di configurazione messi a disposizione dall’infrastruttura di comando e controllo.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore