Een stukje malware dat al jaren rondwaart doet zich momenteel voor als een VPN-dienst, waarschuwt Bitdefender. Het gaat om een VPN-service met de naam S5Mark, eigenlijk stiekem de Zacinlo-rootkit. Die geeft onverlaten onder meer Man-in-the-Browser-capaciteiten om SSL-verkeer te onderscheppen, screenshots te nemen en antimalware-software als Window Defender uit te schakelen.

GUI met aan/uitknop

In zijn rapport (PDF) legt Bitdefender uit dat de malware al jaren rondwaart, maar dat de tactiek om onwetende gebruikers te verleiden om VPN-software te installeren nieuw is. S5Mark belooft slachtoffers onder meer anonimiteit en veilig online bankieren, maar eigenlijk downloadt de gebruiker een dropper die de rest van de malafide software binnenhaalt.

Er wordt vervolgens een GUI'tje met een aan- en uitknop weergegeven, maar die doet niets. Volgens het Roemeense beveiligingsbedrijf is de rootkit na jaren kwakkelen met deze tactiek eind 2017 opeens flink gegroeid.

Functionaliteit vergroten

Verder meldt het beveiligingsbedrijf dat de malware modulair is en zich voornamelijk verspreidt op Windows 10-machines. "Het kan de installatie ad hoc aanpassen aan vrijwel elke soort software en daarmee zijn functionaliteit vergroten", melden de onderzoekers in hun rapport.