La destacada empresa rumana de software antivirus y de ciberseguridad Bitdefender ha revelado la última arma resistente para los delincuentes que buscan violar los sistemas operativos Windows: un adware que los investigadores llaman Zacinlo.
Resulta que alrededor de 2.500 máquinas, desde 2012, instalaron una aplicación VPN falsa llamada S5Mark que, sin el conocimiento de los usuarios de las máquinas, venía incluida con este sofisticado software publicitario.
Qué hacer
Eliminar una infección de Zacinlo es bastante difícil, pero un investigador de Bitdefender le dijo a ZDNet que la mejor manera sería usar un disco de rescate antivirus, que usa una memoria USB o un disco óptico para iniciar la máquina infectada en una forma especializada de Linux que luego escanea el Unidad de Windows sin ejecutar Windows. Muchos proveedores de antivirus ofrecen imágenes de discos de rescate de forma gratuita; Bitdefender tiene instrucciones sobre cómo crear una aquí.
MÁS: Las mejores aplicaciones y software antivirus
¿De dónde vino Zacinlo?
Los autores intelectuales detrás de Zacinlo lo han estado difundiendo desde 2012 y se cree que lo han optimizado para Windows 10 en algún momento de los últimos dos años.
La actividad de Zacinlo experimentó grandes picos en 2014 y 2015, pero el adware estuvo más activo a finales de 2022-2023. Sus víctimas están muy concentradas en los EE. UU. Y en máquinas con Windows 10: alrededor del 90 por ciento de los sistemas infectados con Zacinlo ejecutaban Windows 10.
Dos factores convierten a Zacinlo en una amenaza mayor que hace un año. Primero, puede sobrevivir a la mayoría de las defensas tradicionales contra el malware. El adware puede cargar la información de configuración de su sistema en un servidor de comando y control remoto para su análisis. El servidor de comando y control puede indicarle al adware que desactive y desinstale otras aplicaciones de su computadora, es decir, sus programas antivirus y antimalware, así como las variedades de adware de la competencia.
En segundo lugar, Zacinlo es ahora un rootkit que opera en el nivel más bajo del sistema operativo, lo que lo hace muy difícil de detectar. También escribe información de reinstalación en el Registro de Windows para que sobreviva a los reinicios y tal vez incluso a las actualizaciones del sistema.
Además, es peligroso. Zacinlo se ha implementado (hasta ahora) principalmente para inyectar anuncios en páginas web y para ejecutar un "navegador sin cabeza" (un navegador invisible sin interfaz de usuario) para hacer clic en anuncios en el fondo de las computadoras de las víctimas.
Podría estropear los pagos en línea
Pero el adware es capaz de realizar negocios más siniestros. Debido a que utiliza un dispositivo robado, también es capaz de interceptar incluso comunicaciones cifradas, lo que podría permitirle ver y manipular sus pagos en línea.
Puede redirigir las solicitudes del navegador, lo que significa que puede cargar páginas web falsas que se ven exactamente como las reales. Y contiene un módulo que puede tomar y transferir capturas de pantalla de su pantalla de forma remota, lo que podría comprometer gran parte de su información personal.
Línea de fondo
Este descubrimiento debería servir como una llamada de atención: no descargue software sospechoso. Antes de instalar el software VPN, investigue y asegúrese de que sea uno en el que pueda confiar.