FacebookTwitterLinkedIn

Jak usunąć malware trojańskie KEYSTEAL z systemu operacyjnego

Znany również jako: Malware KEYSTEAL
Typ: Wirus Mac
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez , (zaktualizowany)

Czym jest KEYSTEAL?

KEYSTEAL to nazwa trojana atakującego dane pęku kluczy macOS. To malware pojawia się w systemach jako aplikacja z trojanami o nazwie ResignTool. Ze względu na to, jak wrażliwe mogą być informacje przechowywane w pęku kluczy Mac – to malware stanowi poważne zagrożenie dla prywatności użytkowników.

Wykrycia malware trojańskiego KEYSTEAL na VirusTotal

Przegląd malware KEYSTEAL

Wariant KEYSTEAL, który przeanalizowaliśmy, został zainstalowany przez złośliwy instalator, który twierdzi, że zawiera aplikację ResignTool. Po instalacji malware zachowało to przebranie. Jest to jednak coś więcej niż tylko połączenie tej samej ikony i nazwy aplikacji. Jest to zmodyfikowana („strojanizowana") wersja ResignTool.

ResignTool jest przeznaczony do zmiany informacji o podpisaniu plików archiwów w formacie IPA używanych w systemie iOS. Ta aplikacja jest bezpłatna, ale nie jest dostępna w sklepie Apple App Store. Dlatego ten program można uzyskać tylko z platform hostingowych i udostępniających pliki typu open source, co otwiera cyberprzestępcom drogę do trojanizacji ResignTool i rozsyłania jego złośliwych wersji.

Malware KEYSTEAL atakuje informacje pęku kluczy. System zarządzania hasłami macOS o nazwie Keychain może przechowywać różne wrażliwe dane, w tym nazwy użytkowników/hasła, klucze prywatne, certyfikaty cyfrowe, bezpieczne notatki i inne poufne informacje.

Ten trojan uzyskuje również hasło do konta użytkownika, po zakończeniu instalacji wyświetlając okienko pop-up z żądaniem tych informacji.

Warto zauważyć, że gdy KEYSTEAL zakończy swoją szkodliwą aktywność, uruchamia oryginalną procedurę ResignTool – zacierając w ten sposób swoje ślady.

Podsumowując, infekcje KEYSTEAL mogą powodować poważne problemy z prywatnością, straty finansowe, a nawet kradzież tożsamości.

Podsumowanie zagrożenia:
Nazwa Malware KEYSTEAL
Typ zagrożenia Złośliwe oprogramowanie Mac, wirus Mac, trojan, wirus kradnący hasła.
Nazwy wykrycia (instalatora) Avast (MacOS:KCSteal-A [Trj]), Kaspersky (UDS:Trojan-PSW.OSX.KCSteal), Lionic (Trojan.OSX.KCSteal.4!c), Symantec (OSX.Trojan.Gen), Pełna lista wykrycia (VirusTotal)
Nazwy wykrycia (aplikacji) Kaspersky (HEUR:Trojan-PSW.OSX.KCSteal.gen), ZoneAlarm by Check Point (HEUR:Trojan-PSW.OSX.KCSteal.gen), Pełna lista wykrycia (VirusTotal)
Objawy Trojany mają na celu potajemną infiltrację komputera ofiary i pozostawanie cichym, dzięki czemu na zainfekowanym urządzeniu nie widać wyraźnie żadnych objawów.
Metody dystrybucji Instalatory bezpłatnego oprogramowania (sprzedaż wiązana), zainfekowane załączniki wiadomości e-mail, strony internetowe służące do łamania zabezpieczeń oprogramowania, inżynieria społeczna, fałszywe instalatory Flash Player, zwodnicze reklamy pop-up.
Dodatkowe informacje KEYSTEAL może infiltrować system jako trojanizowana aplikacja ResignTool.
Zniszczenie Skradzione hasła i informacje bankowe, kradzież tożsamości.
Usuwanie malware (Mac)

Aby usunąć możliwe infekcje malware, przeskanuj komputer Mac profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner dla Mac
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest ograniczony trzydniowy okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Przykłady malware na Mac

Przeanalizowaliśmy niezliczone próbki złośliwego oprogramowania, a GIMMICKUpdateAgentSysJokerDazzleSpy i NUKESPED to kilka przykładów atakujących systemy operacyjne mac.

Złośliwe oprogramowanie może mieć wiele funkcji, a te funkcje mogą występować w różnych kombinacjach. Niezależnie jednak od tego, czy szkodliwy program kradnie informacje, szyfruje dane, wydobywa kryptowaluty lub wykonuje inne czynności – jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego zdecydowanie zalecamy usunięcie wszystkich zagrożeń natychmiast po ich wykryciu.

Jak KEYSTEAL dostał się na mój komputer?

Ponieważ KEYSTEAL infiltruje systemy jako strojanizowana aplikacja ResignTool. Możliwe, że jej metody dystrybucji są skierowane do użytkowników szukających tej konkretnej aplikacji do pobrania. Chociaż ResignTool jest bezpłatna, nie jest dostępna w oficjalnym sklepie Apple. Dlatego można ją pobrać wyłącznie z platform projektów open source, witryn z bezpłatnym hostingiem plików, stron z bezpłatnym oprogramowaniem i podobnych kanałów.

Jednak równie prawdopodobne jest, że użycie ResignTool jest wygodnym sposobem na zmniejszenie podejrzeń użytkowników, ponieważ ich natychmiastowe wyszukiwanie informacji na jego temat doprowadziłoby do opisu legalnego oprogramowania. Dlatego może być tak, że trojan KEYSTEAL rozsyła się przy użyciu kilku technik.

Ogólnie rzecz ujmując, malware jest dystrybuowane za pomocą taktyk phishingu i socjotechniki. Złośliwe pliki mogą mieć różne formaty (np. plików wykonywalnych archiwów, dokumentów itp.) i infekować urządzenia po ich otwarciu.

Do najczęściej stosowanych metod dystrybucji malware należą: potajemne/zwodnicze pobrania, podejrzane źródła pobierania (np. strony internetowe z freeware i bezpłatnym hostingiem plików, sieci udostępniania peer-to-peer itp.), oszustwa internetowe, złośliwe załączniki i linki w e-mailach/wiadomościach spamowych, złośliwe reklamy, narzędzia do nielegalnej aktywacji oprogramowania („pirackie") i fałszywe aktualizacje.

Jak uniknąć instalacji malware?

Zdecydowanie zalecamy pobieranie produktów wyłącznie z oficjalnych i zweryfikowanych źródeł. Równie ważne jest aktywowanie i aktualizowanie oprogramowania za pomocą legalnych narzędzi, ponieważ nielegalne narzędzia aktywacyjne („pirackie") i aktualizatory stron trzecich mogą zawierać malware.

Zalecamy ostrożność podczas przeglądania sieci, ponieważ oszukańcze i niebezpieczne treści online zwykle wydają się uzasadnione i nieszkodliwe. Innym zaleceniem jest zachowanie czujności w przypadku przychodzących e-maili, wiadomości prywatnych/błyskawicznych i innych. Załączniki i linki znalezione w podejrzanej/nieistotnej poczcie nie mogą być otwierane, ponieważ mogą być złośliwe i powodować infekcje.

Musimy podkreślić znaczenie posiadania zainstalowanego i regularnie aktualizowanego renomowanego programu antywirusowego. Programy bezpieczeństwa muszą być używane do regularnego skanowania systemu oraz usuwania zagrożeń i problemów. Jeśli twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć zagrożenia.

Konfigurator instalacji trojana KEYSTEAL:

Konfigurator instalacji trojana KEYSTEAL

Pop-up (obierający za cel hasła użytkowników) wyświetlany po instalacji trojana KEYSTEAL:

Okno pop-up trojana KEYSTEAL wyświetlane po instalacji

Wygląd trojana KEYSTEAL przebranego za aplikację ResignTool:

Trojan KEYSTEAL przebrany za aplikację ResignTool

Natychmiastowe automatyczne usunięcie malware na Mac: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania na Mac. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner dla Mac Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest ograniczony trzydniowy okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Film pokazujący, jak usunąć adware i porywaczy przeglądarki z komputera Mac:

Usuwanie potencjalnie niechcianych aplikacji:

Usuń potencjalnie niechciane aplikacje z folderu „Aplikacje":

Manualne usuwanie złośliwych aplikacji na Mac

Kliknij ikonę Finder. W oknie Finder wybierz "Aplikacje". W folderze aplikacji poszukaj "MPlayerX", "NicePlayer" lub innych podejrzanych aplikacji i przeciągnij je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji, które powodują reklamy online, przeskanuj komputer Mac pod kątem wszelkich pozostałych niechcianych składników.

Usuwanie plików i folderów powiązanych z malware keysteal:

Finder go to folder command

Kliknij ikonę Finder na pasku menu, wybierz Idź i kliknij Idź do Folderu...

step1Poszukaj plików wygenerowanych przez adware w folderze /Library/LaunchAgents:

removing adware from launch agents folder step 1

W pasku Przejdź do Folderu... wpisz: /Library/LaunchAgents

removing adware from launch agents folder step 2W folderze "LaunchAgents" poszukaj wszelkich ostatnio dodanych i podejrzanych plików oraz przenieś je do Kosza. Przykłady plików wygenerowanych przez adware - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist" itd. Adware powszechnie instaluje wiele plików z tym samym rozszerzeniem.

step2Poszukaj plików wygenerowanych przez adware w folderze /Library/Application Support:

removing adware from application support folder step 1

W pasku Przejdź do Folderu... wpisz: /Library/Application Support

removing adware from application support folder step 2
W folderze "Application Support" sprawdź wszelkie ostatnio dodane i podejrzane foldery. Przykładowo "MplayerX" lub "NicePlayer" oraz przenieś te foldery do Kosza..

step3Poszukaj plików wygenerowanych przez adware w folderze ~/Library/LaunchAgents:

removing adware from ~launch agents folder step 1


W pasku Przejdź do Folderu... i wpisz: ~/Library/LaunchAgents

removing adware from ~launch agents folder step 2

W folderze "LaunchAgents" poszukaj wszelkich ostatnio dodanych i podejrzanych plików oraz przenieś je do Kosza. Przykłady plików wygenerowanych przez adware - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist" itp. Adware powszechnie instaluje szereg plików z tym samym rozszerzeniem.

step4Poszukaj plików wygenerowanych przez adware w folderze /Library/LaunchDaemons:

removing adware from launch daemons folder step 1
W pasku Przejdź do Folderu... wpisz: /Library/LaunchDaemons

removing adware from launch daemons folder step 2W folderze "LaunchDaemons" poszukaj wszelkich podejrzanych plików. Przykładowo: "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist" itp. oraz przenieś je do Kosza.

step 5 Przeskanuj swój Mac za pomocą Combo Cleaner:

Jeśli wykonałeś wszystkie kroki we właściwej kolejności, twój Mac powinien być wolny od infekcji. Aby mieć pewność, że twój system nie jest zainfekowany, uruchom skanowanie przy użyciu programu Combo Cleaner Antivirus. Pobierz GO TUTAJ. Po pobraniu pliku kliknij dwukrotnie instalator combocleaner.dmg, w otwartym oknie przeciągnij i upuść ikonę Combo Cleaner na górze ikony aplikacji. Teraz otwórz starter i kliknij ikonę Combo Cleaner. Poczekaj, aż Combo Cleaner zaktualizuje bazę definicji wirusów i kliknij przycisk "Start Combo Scan" (Uruchom skanowanie Combo).

scan-with-combo-cleaner-1

Combo Cleaner skanuje twój komputer Mac w poszukiwaniu infekcji malware. Jeśli skanowanie antywirusowe wyświetla "nie znaleziono żadnych zagrożeń" - oznacza to, że możesz kontynuować korzystanie z przewodnika usuwania. W przeciwnym razie, przed kontynuowaniem zaleca się usunięcie wszystkich wykrytych infekcji.

scan-with-combo-cleaner-2

Po usunięciu plików i folderów wygenerowanych przez adware, kontynuuj w celu usunięcia złośliwych rozszerzeń ze swoich przeglądarek internetowych.

Usuwanie strony domowej i domyślnej wyszukiwarki malware keysteal z przeglądarek internetowych:

safari browser iconUsuwanie złośliwych rozszerzeń z Safari:

Usuwanie rozszerzeń powiązanych z malware keysteal z Safari:

safari browser preferences

Otwórz przeglądarkę Safari. Z paska menu wybierz "Safari" i kliknij "Preferencje...".

safari extensions window

W oknie "Preferencje" wybierz zakładkę "Rozszerzenia" i poszukaj wszelkich ostatnio zainstalowanych oraz podejrzanych rozszerzeń. Po ich zlokalizowaniu kliknij znajdujących się obok każdego z nich przycisk „Odinstaluj". Pamiętaj, że możesz bezpiecznie odinstalować wszystkie rozszerzenia ze swojej przeglądarki Safari – żadne z nich nie ma zasadniczego znaczenia dla jej prawidłowego działania.

  • Jeśli w dalszym ciągu masz problemy z niechcianymi przekierowaniami przeglądarki oraz niechcianymi reklamami - Przywróć Safari.

firefox browser iconUsuwanie złośliwych wtyczek z Mozilla Firefox:

Usuwanie dodatków powiązanych z malware keysteal z Mozilla Firefox:

accessing mozilla firefox add-ons

Otwórz przeglądarkę Mozilla Firefox. W prawym górnym rogu ekranu kliknij przycisk "Otwórz Menu" (trzy linie poziome). W otwartym menu wybierz "Dodatki".

removing malicious add-ons from mozilla firefox

Wybierz zakładkę "Rozszerzenia" i poszukaj ostatnio zainstalowanych oraz podejrzanych dodatków. Po znalezieniu kliknij przycisk "Usuń" obok każdego z nich. Zauważ, że możesz bezpiecznie odinstalować wszystkie rozszerzenia z przeglądarki Mozilla Firefox – żadne z nich nie ma znaczącego wpływu na jej normalne działanie.

  • Jeśli nadal doświadczasz problemów z przekierowaniami przeglądarki oraz niechcianymi reklamami - Przywróć Mozilla Firefox.

chrome-browser-iconUsuwanie złośliwych rozszerzeń z Google Chrome:

Usuwanie dodatków powiązanych z malware keysteal z Google Chrome:

removing malicious google chrome extensions step 1

Otwórz Google Chrome i kliknij przycisk "Menu Chrome" (trzy linie poziome) zlokalizowany w prawym górnym rogu okna przeglądarki. Z rozwijanego menu wybierz "Więcej narzędzi" oraz wybierz "Rozszerzenia".

removing malicious Google Chrome extensions step 2

W oknie "Rozszerzenia" poszukaj wszelkich ostatnio zainstalowanych i podejrzanych dodatków. Po znalezieniu kliknij przycisk "Kosz" obok każdego z nich. Zauważ, że możesz bezpiecznie odinstalować wszystkie rozszerzenia z przeglądarki Google Chrome – żadne z nich nie ma znaczącego wpływu na jej normalne działanie.

  •  Jeśli nadal doświadczasz problemów z przekierowaniami przeglądarki oraz niechcianymi reklamami - PrzywróćGoogle Chrome.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany malware KEYSTEAL. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?

Nie, usunięcie KEYSTEAL nie wymaga formatowania.

Jakie są największe problemy, które może powodować malware KEYSTEAL?

Zagrożenia stwarzane przez infekcję zależą od funkcjonalności szkodliwego programu i celów cyberprzestępców. KEYSTEAL celuje w dane pęku kluczy systemu macOS (np. hasła, klucze prywatne, certyfikaty itp.). Dlatego te infekcje mogą spowodować poważne problemy z prywatnością, straty finansowe, a nawet kradzież tożsamości.

Jaki jest cel złośliwego oprogramowania KEYSTEAL?

Chociaż malware działa inaczej, jest wykorzystywane głównie do generowania przychodów. Jednak cyberprzestępcy mogą również wykorzystywać to oprogramowanie do własnej rozrywki lub do przeprowadzania osobistych wendet, zakłócania procesów (np. stron internetowych, usług itp.), a nawet przeprowadzania ataków motywowanych politycznie/geopolitycznie.

Jak malware KEYSTEAL przeniknęło do mojego komputera?

Złośliwe oprogramowanie jest najczęściej dystrybuowane poprzez pobrania drive-by, e-maile i wiadomości spamowe, oszustwa internetowe, niewiarygodne źródła pobierania (np. „pirackie"), fałszywe aktualizacje i złośliwe reklamy. Niektóre złośliwe programy są nawet zdolne do samodzielnego rozsyłania się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. dysków flash USB, zewnętrznych dysków twardych itp.).

Czy Combo Cleaner ochroni mnie przed malware?

Tak, Combo Cleaner jest przeznaczony do wykrywania i usuwania zagrożeń. Jest w stanie usunąć praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że wyrafinowane malware zwykle ukrywa się głęboko w systemach - dlatego przeprowadzenie pełnego skanowania systemu ma kluczowe znaczenie dla jego wykrycia.

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
Malware KEYSTEAL kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Malware KEYSTEAL na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na komputerze Mac już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner dla Mac

Platforma: macOS

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest ograniczony trzydniowy okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.