Bitdefender a deconspirat o amplă operaţiune de fraudare a bugetelor de publicitate online

Autor: Aurelian Mihai 18.06.2018
Bitdefender a deconspirat o amplă operaţiune de fraudare a bugetelor de publicitate online

Luând forma unei aplicaţii adware strecurată în PC-urile utilizatorilor fără ştirea acestora, malware-ul identificat de specialiştii în securitate cibernetică ai Bitdefender rulează reclame invizibile pe PC-urile compromise, cauzând pierderi importante companiilor prin expunerea mesajelor publicitare la audienţe fictive.

După ce infectează calculatorul utilizatorului, ameninţarea, denumită Zacinlo, deschide multiple sesiuni ale browserului şi încarcă bannere cu reclame, după care simulează click-uri din partea victimei sau schimbă conţinutul publicitar de pe paginile vizitate cu reclame proprii, ceea ce îi generează atacatorului venituri substanţiale. Companiile care alocă bugete de publicitate pentru diverse campanii online unde plata se face în funcţie de publicul atins plătesc fără ca mesajele comerciale să ajungă la persoane reale, deci fără să producă impactul scontat.

Zacinlo se instalează pe sistem cu privilegii de administrator, ceea ce îi permite să se protejeze de procesele care îi pun în pericol funcţionarea şi să împiedice orice încercare de a fi oprit sau şters. Aceste capabilităţi de rootkit sunt extrem de rar întâlnite şi reprezintă sub 1% din totalul ameninţărilor informatice existente în mod uzual. De aceea, din cauza integrării profunde cu sistemul de operare, înlăturarea acestuia devine foarte dificilă.

Zacinlo foloseşte diverse platforme în care înlocuieşte reclame, inclusiv Google AdSense, şi are inclusiv capacitatea de a îndepărta competiţia de pe calculatorul infectat, printr-o funcţionalitate de ştergere a celorlalte forme de adware de pe sistem. În plus, ameninţarea informatică extrage informaţii detaliate despre calculatorul infectat, referitoare la soluţia de securitate instalată şi la aplicaţiile şi programele care rulează pe dispozitiv. Zacinlo face inclusiv capturi de ecran şi le trimite la centrul de comandă şi control pentru analiză. Această funcţionalitate are un impact masiv asupra intimităţii utilizatorilor, dat fiind că respectivele print screen-uri pot conţine informaţii cu caracter sensibil precum e-mail-uri, mesaje private sau sesiuni de e-banking.

Zacinlo opreşte inclusiv aplicaţia antivirus de pe calculatorul infectat, lăsând ca singură metodă de diagnosticare şi devirusare o scanare avansată a dispozitivului în afara sistemului de operare – aşa-numitul mod de salvare sau rescue mode.

Adware-ul se instalează pe calculator prin descărcarea unui serviciu de VPN gratuit şi anonim (s5Mark), dinstribuit într-un kit de instalare. Utilizatorilor mai puţin tehnici li se dă de înţeles că o conexiune VPN este stabilită, fără ca aceasta să se întâmple însă vreodată.

Cele mai multe mostre ale ameninţării informatice Zacinlo au fost identificate în Statele Unite ale Americii, urmate de Europa, Brazilia, China şi India. Circa 90% dintre dispozitivele unde a fost identificat Zacinlo rulau pe sistemul de operare Windows 10. Campania ar fi pornit încă din 2012, însă specialiştii de la Bitdefender au observat un vârf al activităţii acestui adware la finele anului 2017 şi începutul lui 2018.