După ce infectează calculatorul utilizatorului, amenințarea, denumită Zacinlo, deschide multiple sesiuni ale browserului și încarcă bannere cu reclame, după care simulează click-uri din partea victimei sau schimbă conținutul publicitar de pe paginile vizitate cu reclame proprii, ceea ce îi generează atacatorului venituri substanțiale. Companiile care alocă bugete de publicitate pentru diverse campanii online unde plata se face în funcție de publicul atins plătesc fără ca mesajele comerciale să ajungă la persoane reale, deci fără să producă impactul scontat.

Zacinlo se instalează pe sistem cu privilegii de administrator, ceea ce îi permite să se protejeze de procesele care îi pun în pericol funcționarea și să împiedice orice încercare de a fi oprit sau șters. Aceste capabilități de rootkit sunt extrem de rar întâlnite și reprezintă sub 1% din totalul amenințărilor informatice existente în mod uzual. De aceea, din cauza integrării profunde cu sistemul de operare, înlăturarea acestuia devine foarte dificilă.

Zacinlo folosește diverse platforme în care înlocuiește reclame, inclusiv Google AdSense, și are inclusiv capacitatea de a îndepărta competiția de pe calculatorul infectat, printr-o funcționalitate de ștergere a celorlalte forme de adware de pe sistem. În plus, amenințarea informatică extrage informații detaliate despre calculatorul infectat, referitoare la soluția de securitate instalată și la aplicațiile și programele care rulează pe dispozitiv. Zacinlo face inclusiv capturi de ecran și le trimite la centrul de comandă și control pentru analiză. Această funcționalitate are un impact masiv asupra intimității utilizatorilor, dat fiind că respectivele print screen-uri pot conține informații cu caracter sensibil precum e-mail-uri, mesaje private sau sesiuni de e-banking.

Zacinlo oprește inclusiv aplicația antivirus de pe calculatorul infectat, lăsând ca singură metodă de diagnosticare și devirusare o scanare avansată a dispozitivului în afara sistemului de operare – așa-numitul mod de salvare sau rescue mode.

Adware-ul se instalează pe calculator prin descărcarea unui serviciu de VPN gratuit și anonim (s5Mark), dinstribuit într-un kit de instalare. Utilizatorilor mai puțin tehnici li se dă de înțeles că o conexiune VPN este stabilită, fără ca aceasta să se întâmple însă vreodată.

Cele mai multe mostre ale amenințării informatice Zacinlo au fost identificate în Statele Unite ale Americii, urmate de Europa, Brazilia, China și India. Circa 90% dintre dispozitivele unde a fost identificat Zacinlo rulau pe sistemul de operare Windows 10. Campania ar fi pornit încă din 2012, însă specialiștii de la Bitdefender au observat un vârf al activității acestui adware la finele anului 2017 și începutul lui 2018.

Sursa: Go4it