Das bekannte rumänische Unternehmen für Cybersicherheits- und Antivirensoftware Bitdefender hat die neueste widerstandsfähige Waffe für Gauner enthüllt, die Windows-Betriebssysteme knacken wollen: eine Adware, die die Forscher Zacinlo nennen.
Es stellt sich heraus, dass seit 2012 auf rund 2.500 Maschinen eine gefälschte VPN-Anwendung namens S5Mark installiert ist, die, ohne dass die Benutzer der Maschinen wissen, mit dieser ausgeklügelten Adware gebündelt wurde.
Was ist zu tun
Das Entfernen einer Zacinlo-Infektion ist ziemlich schwierig, aber ein Bitdefender-Forscher sagte ZDNet, dass der beste Weg wäre, eine Antiviren-Notfalldiskette zu verwenden, die einen USB-Stick oder eine optische Festplatte verwendet, um den infizierten Computer in eine spezielle Form von Linux zu booten, die dann die Windows-Laufwerk, ohne Windows auszuführen. Rettungsdisketten-Images werden von vielen Antiviren-Anbietern kostenlos angeboten – Bitdefender bietet hier eine Anleitung zum Erstellen eines Images.
MEHR: Beste Antivirus-Software und Apps
Woher kommt Zacinlo?
Die Vordenker hinter Zacinlo verbreiten es seit 2012 und sollen es in den letzten zwei Jahren für Windows 10 optimiert haben.
Die Aktivität von Zacinlo verzeichnete 2014 und 2015 große Spitzen, aber die Adware war Ende 2022-2023 am aktivsten. Die Opfer sind stark in den USA und auf Windows 10-Computern konzentriert – etwa 90 Prozent der mit Zacinlo infizierten Systeme liefen mit Windows 10.
Zwei Faktoren machen Zacinlo heute zu einer größeren Bedrohung als noch vor einem Jahr. Erstens kann es die meisten herkömmlichen Abwehrmaßnahmen gegen Malware überstehen. Die Adware ist in der Lage, die Konfigurationsinformationen Ihres Systems zur Analyse auf einen entfernten Command-and-Control-Server hochzuladen. Der Command-and-Control-Server kann dann die Adware anweisen, andere Anwendungen auf Ihrem Computer zu deaktivieren und zu deinstallieren – nämlich Ihre Antiviren- und Anti-Malware-Programme sowie konkurrierende Adware-Stämme.
Zweitens ist Zacinlo jetzt ein Rootkit, das auf der niedrigsten Ebene des Betriebssystems arbeitet, was es sehr schwer macht, es zu erkennen. Es schreibt auch Neuinstallationsinformationen in die Windows-Registrierung, damit es Neustarts und möglicherweise sogar Systemaktualisierungen übersteht.
Außerdem ist es gefährlich. Zacinlo wurde (bisher) hauptsächlich eingesetzt, um Werbung in Webseiten einzuschleusen und einen "headless browser" (ein unsichtbarer Browser ohne Benutzeroberfläche) auszuführen, um im Hintergrund auf den Computern der Opfer auf Anzeigen zu klicken.
Es könnte mit Online-Zahlungen durcheinander kommen
Aber die Adware ist zu unheilvolleren Geschäften fähig. Da es ein gestohlenes Gerät verwendet, ist es auch in der Lage, sogar verschlüsselte Kommunikation abzufangen, was es ihm ermöglichen könnte, Ihre Online-Zahlungen anzuzeigen und zu manipulieren.
Es kann Browser-Anfragen umleiten, was bedeutet, dass es gefälschte Webseiten laden kann, die genau wie die echten aussehen. Und es enthält ein Modul, das Screenshots Ihres Bildschirms aus der Ferne aufnehmen und übertragen kann – was viele Ihrer persönlichen Daten gefährden könnte.
Endeffekt
Diese Entdeckung sollte als Weckruf dienen: Laden Sie keine zwielichtige Software herunter. Bevor Sie VPN-Software installieren, recherchieren Sie und stellen Sie sicher, dass Sie sich darauf verlassen können.