L'éminente société roumaine de cybersécurité et de logiciels antivirus Bitdefender a révélé la dernière arme résiliente pour les escrocs cherchant à violer les systèmes d'exploitation Windows : un logiciel publicitaire que les chercheurs appellent Zacinlo.
Il s'avère qu'environ 2 500 machines ont, depuis 2012, installé une fausse application VPN appelée S5Mark qui, à l'insu des utilisateurs des machines, était livrée avec ce logiciel publicitaire sophistiqué.
Que faire
Supprimer une infection Zacinlo est assez difficile, mais un chercheur de Bitdefender a déclaré à ZDNet que le meilleur moyen serait d'utiliser un disque de secours antivirus, qui utilise une clé USB ou un disque optique pour démarrer la machine infectée dans une forme spécialisée de Linux qui analyse ensuite le Lecteur Windows sans exécuter Windows. Les images de disque de secours sont proposées gratuitement par de nombreux fournisseurs d'antivirus -- Bitdefender a des instructions sur la façon d'en créer une ici.
PLUS : Meilleurs logiciels et applications antivirus
D'où vient Zacinlo ?
Les cerveaux derrière Zacinlo le diffusent depuis 2012 et l'auraient optimisé pour Windows 10 au cours des deux dernières années.
L'activité de Zacinlo a connu de gros pics en 2014 et 2015, mais le logiciel publicitaire a été le plus actif à la fin de 2022-2023. Ses victimes sont fortement concentrées aux États-Unis et sur des machines Windows 10 - environ 90 % des systèmes infectés par Zacinlo exécutaient Windows 10.
Deux facteurs font maintenant de Zacinlo une menace plus grande qu'il ne l'était il y a un an. Premièrement, il peut survivre à la plupart des défenses traditionnelles contre les logiciels malveillants. L'adware est capable de télécharger les informations de configuration de votre système sur un serveur de commande et de contrôle distant pour analyse. Le serveur de commande et de contrôle peut ensuite demander au logiciel publicitaire de désactiver et de désinstaller d'autres applications sur votre ordinateur, à savoir vos programmes antivirus et anti-malware, ainsi que les souches concurrentes de logiciels publicitaires.
Deuxièmement, Zacinlo est désormais un rootkit, fonctionnant au niveau le plus bas du système d'exploitation, ce qui le rend très difficile à détecter. Il écrit également les informations de réinstallation dans le registre Windows afin qu'il survive aux redémarrages et peut-être même aux mises à niveau des systèmes.
En plus, c'est dangereux. Zacinlo a (jusqu'à présent) été principalement déployé pour injecter des publicités dans des pages Web et pour exécuter un "navigateur sans tête" (un navigateur invisible sans interface utilisateur) pour cliquer sur les publicités en arrière-plan des ordinateurs des victimes.
Cela pourrait gâcher les paiements en ligne
Mais l'adware est capable d'affaires plus sinistres. Parce qu'il utilise un vol, il est également capable d'intercepter même les communications cryptées, ce qui pourrait lui permettre de visualiser et de falsifier vos paiements en ligne.
Il peut rediriger les requêtes du navigateur, ce qui signifie qu'il peut charger de fausses pages Web qui ressemblent exactement à la vraie. Et il contient un module qui peut prendre et transférer à distance des captures d'écran de votre écran, ce qui pourrait compromettre une grande partie de vos informations personnelles.
Résultat final
Cette découverte devrait servir de signal d'alarme : ne téléchargez pas de logiciels douteux. Avant d'installer un logiciel VPN, faites vos recherches et assurez-vous qu'il s'agit d'un logiciel de confiance.