Zacinlo. Windows 10 in pericolo.

Zacinlo. Windows 10 in pericolo.

Una recente “rinascita” di un ceppo adware ha iniziato a colpire i sistemi in esecuzione su Windows 10. Zacinlo ha funzionalità che non si trovano tipicamente in adware e che sono state trovate attive in tutto il mondo.

Zacinlo. Come compromette il sistema.

Zacinlo viene fornito in s5Mark, un’applicazione che dichiara di essere una VPN gratuita. Una volta installato s5mark, il rootkit contenente Zacinlo entra in azione e installa silenziosamente i vari componenti.

Zacinlo. Di cosa è capace?

L’interesse su Zacinlo è legato a un rootkit che è in grado di installarsi sulla maggior parte dei sistemi operativi Windows. I malware con rootkit sono rari. Zacinlo potrebbe colpire anche sistemi che eseguono Windows 10, che include in particolare le difese di sicurezza contro i rootkit. Una volta nel sistema, inserisce gli script sui browser per visualizzare annunci e manipolare il software antivirus per evitare il rilevamento. Inoltre, cercherà qualsiasi altro adware installato nel sistema rimuovendolo nel tentativo di massimizzarne l’efficacia.

Sembra che Zacinlo abbia anche proprietà spyware. Cattura continuamente screenshot dei sistemi delle vittime e li trasmette al server di comando e controllo (C & C). Dati sensibili o password non sicure potrebbero essere catturati in uno di questi screenshot, ponendo potenziali problemi di sicurezza per il futuro.

Zacinlo sfugge anche alla maggior parte dei metodi di rilevamento e si posiziona in modo tale da mantenere il controllo sul sistema, anche dopo che il sistema operativo è stato ripristinato da un backup.

Zacinlo. Come monitorarlo.

Se Zacinlo non si trova già su uno dei tuoi sistemi, il modo migliore per evitare lui e malware simili è non scaricare applicazioni di terze parti non attendibili. Zacinlo è molto sofisticato e, una volta installato su un sistema, si colloca in modo tale da essere difficilmente rilevabile. Il driver del rootkit può manomettere sia il sistema operativo che il software anti-virus, quindi è meglio eseguire una scansione in modalità di ripristino piuttosto che farlo normalmente.

In ambito aziendale, i professionisti della sicurezza IT e gli amministratori di sistema dovrebbero accertarsi di disporre di adeguati strumenti di sicurezza per rilevare se sulla propria rete sono installate applicazioni non identificate. Un modo per svolgere questa attività è con una soluzione di gestione degli endpoint.

Zacinlo. Come difendersi.

Le soluzioni di gestione degli endpoint abbinano la gestione delle patch, la distribuzione del software e la gestione delle risorse IT. In casi come Zacinlo, una soluzione di gestione degli endpoint può avvisare gli amministratori di sistema quando un utente installa s5mark, l’applicazione con il payload Zacinlo. L’amministratore può rimuovere immediatamente questa applicazione dalla rete, vietarla nella rete e bloccare per sempre quel particolare file EXE.

Le soluzioni per la gestione degli endpoint possono anche eseguire le attività indicate sopra per qualsiasi applicazione sconosciuta e possono persino difendersi da cyber-minacce complesse come attacchi man-in-middle, attacchi waterhole, attacchi DDOS e altro.

Ti interessa provare subito la versione demo gratuita di Desktop Centra? Puoi scaricarla dalla nostra pagina: http://www.manageengine.it/desktop-central/

Se invece vuoi avere maggiori informazioni di carattere tecnico o commerciale, contatta gli esperti Bludis allo 0643230077 o invia una e-mail a sales@bludis.it

Articoli correlati

Nessun commento

Commenta