Công ty phần mềm chống vi-rút và an ninh mạng nổi tiếng của Romania, Bitdefender đã tiết lộ vũ khí mới nhất có khả năng phục hồi cho những kẻ gian đang tìm cách xâm phạm hệ điều hành Windows: một phần mềm quảng cáo mà các nhà nghiên cứu gọi là Zacinlo.
Nó chỉ ra rằng khoảng 2.500 máy, kể từ năm 2012, đã cài đặt một ứng dụng VPN giả có tên là S5Mark mà người dùng máy không hề hay biết, đi kèm với phần mềm quảng cáo phức tạp này.
Phải làm gì
Loại bỏ sự lây nhiễm Zacinlo là khá khó khăn, nhưng một nhà nghiên cứu Bitdefender nói với ZDNet rằng cách tốt nhất là sử dụng đĩa cứu hộ chống vi-rút, sử dụng thẻ USB hoặc đĩa quang để khởi động máy bị nhiễm vào một dạng Linux chuyên dụng, sau đó quét Ổ đĩa Windows mà không cần chạy Windows. Hình ảnh đĩa cứu hộ được cung cấp miễn phí bởi nhiều nhà cung cấp phần mềm chống vi-rút - Bitdefender có hướng dẫn về cách tạo tệp này tại đây.
XEM THÊM: Ứng dụng và phần mềm chống vi-rút tốt nhất
Zacinlo đến từ đâu?
Những kẻ chủ mưu đằng sau Zacinlo đã phát tán nó từ năm 2012 và được cho là đã tối ưu hóa nó cho Windows 10 trong hai năm qua.
Hoạt động của Zacinlo đã tăng đột biến trong năm 2014 và 2015, nhưng phần mềm quảng cáo này hoạt động mạnh nhất vào cuối năm 2022-2023. Nạn nhân của nó tập trung nhiều ở Hoa Kỳ và trên các máy Windows 10 - khoảng 90% hệ thống bị nhiễm Zacinlo đang chạy Windows 10.
Hai yếu tố hiện khiến Zacinlo trở thành mối đe dọa lớn hơn so với một năm trước. Đầu tiên, nó có thể tồn tại trong hầu hết các hệ thống phòng thủ truyền thống chống lại phần mềm độc hại. Phần mềm quảng cáo có thể tải lên thông tin cấu hình hệ thống của bạn lên một máy chủ điều khiển và chỉ huy từ xa để phân tích. Sau đó, máy chủ điều khiển và ra lệnh có thể hướng dẫn phần mềm quảng cáo vô hiệu hóa và gỡ cài đặt các ứng dụng khác trên máy tính của bạn - cụ thể là các chương trình chống vi-rút và chống phần mềm độc hại, cũng như các dòng phần mềm quảng cáo cạnh tranh.
Thứ hai, Zacinlo hiện là một rootkit, hoạt động ở cấp thấp nhất của hệ điều hành, nên rất khó phát hiện. Nó cũng ghi thông tin cài đặt lại vào Windows Registry để nó có thể tồn tại khi khởi động lại và thậm chí có thể nâng cấp hệ thống.
Ngoài ra, nó nguy hiểm. Zacinlo (cho đến nay) chủ yếu được triển khai để đưa quảng cáo vào các trang web và chạy "trình duyệt không đầu" (một trình duyệt vô hình không có giao diện người dùng) để nhấp vào quảng cáo trong nền máy tính của nạn nhân.
Nó có thể gây rối với thanh toán trực tuyến
Nhưng phần mềm quảng cáo có khả năng kinh doanh nham hiểm hơn. Bởi vì nó sử dụng cách bị đánh cắp Nó cũng có khả năng chặn ngay cả giao tiếp được mã hóa, điều này có thể cho phép nó xem và giả mạo các khoản thanh toán trực tuyến của bạn.
Nó có thể chuyển hướng các yêu cầu của trình duyệt, có nghĩa là nó có thể tải các trang web giả giống hệt như thật. Và nó chứa một mô-đun có thể chụp và chuyển ảnh chụp màn hình của bạn từ xa - điều này có thể ảnh hưởng đến nhiều thông tin cá nhân của bạn.
Kết luận
Khám phá này sẽ như một lời cảnh tỉnh: Đừng tải phần mềm mờ ám. Trước khi cài đặt phần mềm VPN, hãy nghiên cứu và đảm bảo rằng đó là phần mềm bạn có thể tin tưởng.