Online-Werbebetrug mit Fokus auf Windows 10 Nutzer

Experten von Bitdefender haben eine hoch entwickelte Malware mit Namen “Zacinlo” entdeckt, die hauptsächlich als Adware für Werbebetrug verantwortlich ist. Ausgestattet mit Rootkit-Funktionalitäten, gräbt sich “Zacinlo” tief in die Systeme der Nutzer, um unerkannt seine betrügerischen Zwecke zu erfüllen. Die Malware soll bereits seit 2012 ihr Unwesen auf infizierten Systemen treiben.

Über ein legitimes VPN-Programm schleicht sich “Zacinlo” auf die Systeme der Anwender. Die Malware läuft problemlos auf allen gängigen Browsern, öffnet unsichtbare Browserinstanzen, lädt Werbebanner, simuliert Klicks und generiert den Kriminellen eine goldene Nase.

Die Aktivitäten der Malware “Zacinlo” lassen sich bis 2012 zurückverfolgen. Lange ruhig, zeigen sich 2017 erneut starke Aktivitäten der Malware, die es hauptsächlich auf Windows 10 Systeme (89%) abgesehen hat. Zu einem geringen Prozentsatz bleiben auch Windows 7 und 8 Nutzer nicht verschont.

Bild: labs.bitdefender.com – angegriffene Betriebssysteme

Nicht ungefährlich und kaum zu stoppen Laut dem Analyst Bogdan Botezatu von Bitdefender ist die Rootkit-basierte Adware hoch komplex und modular aufgebaut, um jederzeit entsprechend seiner Umgebung erweitert und angepasst zu werden. Aktive Samples der Malware wurden hauptsächlich in den USA registriert. Aber auch von Infizierungen in Deutschland, Brasilien, Frankreich, Indien, China, Indonesien und den Philippinen wurde berichtet.

Wie werden die Systeme mit der “Zacinlo”-Malware infiziert?

Die Infektionskette beginnt mit einem Downloader, der eine angebliche VPN-Anwendung “s5Mark” installiert. Nach der Ausführung werden mehrere andere Komponenten sowie ein Dropper oder ein Downloader heruntergeladen, der die Adware- und Rootkit-Komponenten auf den Systemen installiert. Einmal installiert, manipuliert die Malware das Betriebssystem sowie installierte Schutzmechanismen und startet sein Hauptziel – Werbung schalten und Einnahmen generieren. 

Bild: labs.bitdefender.com – VPN-Anwendung “s5Mark”

Das Whitepaper von Bitdefener zeigt u.a. den mächtigen Umfang der Malware. Das zentrale Element der Adware ist unumstritten der Rootkit-Treiber, der dafür verantwortlich ist, die Adware vor systemeigenen Schutzmechanismen zu verbergen bzw. dass diese nicht entfernt werden kann. Darüber hinaus blockiert und deaktiviert die Malware gängige Antiviren-Programme. Dazu gehören die Produkte von Bitdefender, Qihoo, Kingsoft, Malwarebytes, Symantec, Panda, HitmaPro, Avast, Avg, Microsoft, Kaspersky, Emsisoft und Zemana. Darüber hinaus öffnet die Malware Tür und Tor nach außen. So sammelt “Zacinlo” u.a. Informationen über Browser und System, löscht jede andere Adware auf dem System, lädt weiteren Schadcode herunter und kommuniziert letztendlich mit dem Command & Control Server der Kriminellen und führt zudem Befehle aus – die Infektion überlebt sogar eine Neuinstallation des Windows-Betriebssystems.

Zacinlo erstellt kontinuierlich Screenshots über Aktivitäten vom Desktop seines Opfers und fungiert somit als heimlicher Spion!

Kann die Malware erkannt bzw. entfernt werden?

Anders als z.B. Ransomware, arbeitet “Zacinlo” unsichtbar im Hintergrund der Systeme und kann so über sehr lange Zeit seine betrügerischen Zwecke erfüllen. Auf Grund des komplexen Aufbaus der Malware ist es sehr schwierig, diese überhaupt mit systembasierten Mitteln sichtbar zu machen bzw. mit Antiviren-Programmen zu entfernen. Laut den Experten von Bitdefender manipuliert die Malware das Betriebssystem als auch die Anti-Malware-Lösung, somit ist nur die Überprüfung und Bereinigung über den abgesicherten bzw. Rettungsmodus des Betriebssystems erfolgsversprechend. Zudem geben die Experten an, dass jeder Nutzer beim Herunterladen von Apps und Programmen über nicht vertrauenswürdige Drittanbieter-Quellen sehr vorsichtig sein sollte.

Bild: bitdefender.com