Jak usunąć malware ładujące FakeBat z systemu operacyjnego
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Jakim malware jest FakeBat?
FakeBat (znany również jako EugenLoader) to moduł ładujący i dropper złośliwego oprogramowania, który stał się znaczącym graczem w świecie cyberzagrożeń. FakeBat jest powiązany z kampaniami złośliwymi co najmniej od listopada 2022 r.
Chociaż konkretny ładunek dostarczony przez FakeBat w tych kampaniach jest nieznany, zauważono, że ten moduł ładujący rozpowszechnia dobrze znanych złodziei informacji, takich jak Redline, Ursnif i Rhadamathys.
Więcej informacji o FakeBat
Znaleziono kampanię Google Ads promującą fałszywą witrynę pobierania KeePass przy użyciu Punycode, która ma wyglądać jak prawdziwa witryna KeePass. Wykorzystano ją do rozsyłania FakeBat. Google walczy ze złośliwymi reklamami pojawiającymi się na górze wyników wyszukiwania. Jeszcze trudniejsze jest to, że Google Ads może wyświetlać rzeczywistą domenę Keepass, co utrudnia wykrycie zagrożenia.
Kliknięcie błędnego linku przenosi użytkowników na fałszywą witrynę KeePass zawierającą Punycode w adresie URL. Zastosowano tę sztuczkę, aby witryna wyglądała jak prawdziwa. Jeśli użytkownicy klikną linki pobierania na fałszywej stronie, na ich komputerach zostanie umieszczone malware.
Tego typu sztuczka nie jest niczym nowym, ale stosowanie jej w Google Ads to nowy i niebezpieczny trend. Cyberprzestępcy używają Punycode do rejestrowania adresów internetowych, które wyglądają jak prawdziwe z niewielkimi zmianami. Nazywa się to „atakem homograficznym".
Na przykład używają Punycode, aby xn — eepass-vbb[.]info wyglądała jak ķeepass[.]info, ale z subtelną odmianą pod znakiem „k". Większość osób nie zauważa tej małej różnicy. Należy zauważyć, że cyberprzestępcy korzystający z fałszywej witryny pobierania KeePass korzystali również z fałszywych stron WinSCP i PyCharm Professional.
Jak wspomniano wcześniej, celem tej kampanii jest dostarczenie FakeBat, który porzuca swój szkodliwy ładunek. Wiadomo, że FakeBat był używany do infekowania komputerów programami Redline, Ursniff, Rhadamathys i prawdopodobnie innymi złodziejami informacji.
Złodzieje informacji są specjalnie zaprojektowane do kradzieży danych. Może to obejmować szeroki zakres informacji, takich jak dane logowania, dane finansowe, dokumenty osobiste, historia przeglądania i inne. Mogą wysyłać skradzione informacje na zdalne serwery kontrolowane przez cyberprzestępców, którzy mogą wykorzystywać dane do różnych celów przestępczych, w tym do kradzieży tożsamości i oszustw finansowych.
Nazwa | Malware EugenLoader |
Typ zagrożenia | Dropper malware, narzędzie ładujące |
Nazwy wykrycia (złośliwego instalatora) | ESET-NOD32 (PowerShell/TrojanDownloader.Agent.HHE), Google (wykryty), Ikarus (Trojan-Downloader.PowerShell.Agent), Jiangmin (Trojan.Agentb.nzv), Sophos (Troj/PSDl-SW), Pełna lista (VirusTotal) |
Fałszywe witryny | xn--eepass-vbb[.]info (pojawia się jako ķeepass[.]info na pasku URL), slack.trialap[.]com (fałszywa witryna pobierania Slack) |
Nazwy wykrycia (xn--eepass-vbb[.]info) | Avira (malware), Google (wykryty), Combo Cleaner (malware), Emsisoft (malware), ESET (malware), Pełna lista (VirusTotal) |
Ładunek | Redline, Ursnif, Rhadamathys lub inne malware |
Objawy | Programy ładujące/droppery mają za zadanie potajemnie infiltrować komputer ofiary i pozostawać cichymi, dzięki czemu na zainfekowanym urządzeniu nie są wyraźnie widoczne żadne szczególne objawy. |
Metody dystrybucji | Złośliwe reklamy, fałszywe strony internetowe, zainfekowane załączniki do e-maili, socjotechnika, narzędzia „łamania” zabezpieczeń oprogramowania. |
Zniszczenie | Kradzież haseł i danych bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Wniosek
Podsumowując, FakeBat stanowi niepokojący dodatek do arsenału zagrożeń malware w środowisku cyfrowym. Jako moduł ładujący i dropper powiązany z kampaniami zawierającymi złośliwe reklamy, jego zdolność do infiltrowania systemów poprzez zwodnicze praktyki, takie jak manipulacja Punycode, budzi poważne obawy dotyczące bezpieczeństwa.
Jak malware FakeBat dostało się na mój komputer?
Użytkownicy mogą przypadkowo zainfekować swoje komputery FakeBat, stosując podstępną sztuczkę. Kampania Google Ads promuje fałszywą witrynę pobierania KeePass, która przy użyciu Punycode udaje prawdziwą witrynę KeePass. Celem tej fałszywej witryny jest rozpowszechnianie malware. Nawet użytkownikom znającym się na technologii może być trudno to zauważyć, ponieważ wygląda na legalną witrynę.
Gdy użytkownicy klikną złośliwy link, zostaną przeniesieni na fałszywą witrynę KeePass przy użyciu adresu URL Punycode. Ci, którzy klikną linki pobierania, otrzymają cyfrowo podpisany instalator o nazwie KeePass-2.55-Setup.msix. Instalator ten ma ukrytą sztuczkę – zawiera moduł ładujący złośliwe oprogramowanie FakeBat. Po zainstalowaniu FakeBat może rozpocząć wykonywanie szkodliwych działań na komputerze.
Jak uniknąć instalacji malware?
Powstrzymaj się od klikania niechcianych lub podejrzanych linków, szczególnie w e-mailach lub na nieznanych stronach internetowych. To samo dotyczy otwierania załączników w podejrzanych e-mailach. Zachowaj ostrożność podczas pobierania plików lub oprogramowania z niezweryfikowanych źródeł i zawsze upewnij się, że korzystasz z oficjalnych witryn lub zaufanych sklepów z aplikacjami.
Nie ufaj reklamom (np. okienkom pop-up lub banerom) na podejrzanych stronach. Regularnie aktualizuj swój system operacyjny i oprogramowanie, aby załatać znane luki, ponieważ cyberprzestępcy często wykorzystują te słabości. Korzystaj ze sprawdzonego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, aby zapewnić dodatkową warstwę ochrony.
Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne złośliwe oprogramowanie.
Oficjalna witryna (prawdziwa) KeePass:
Fałszywa witryna KeePass:
Domena fałszywej witryny (z małą wariacją poniżej litery „k"):
Zrzut ekranu fałszywej witryny pobierania Slack (slack.trialap[.]com) używanej do rozsyłania malware FakeBat razem ze złodziejem Atomic:
Aktualizacja 11. stycznia 2024 — W styczniu wyszła na jaw nowa kampania reklamowa rozpowszechniająca FakeBat. W tym przypadku istniała również użyteczna funkcja przeznaczona dla użytkowników komputerów Mac, w szczególności zaktualizowana wersja złodzieja Atomic. Sprawcy wabią potencjalne ofiary za pomocą reklamy w wyszukiwarce Google, która naśladuje Slack, powszechnie używane narzędzie komunikacji.
Cyberprzestępcy przekierowują użytkowników na zwodniczą stronę internetową, z której można pobrać aplikację dla systemów operacyjnych Windows i Mac. W tej samej domenie istnieje otwarty katalog, który ujawnia położenie ładunku systemu Windows, objawiającego się jako instalator MSI (FakeBat), wraz z jego odpowiednikiem dla komputerów Mac, Atomic Stealer (AMOS).
Złośliwy plik DMG zawiera instrukcje dla użytkownika dotyczące otwarcia pliku i przedstawia okno dialogowe z prośbą o podanie hasła systemowego. Ta akcja umożliwia Atomic Stealerowi zbieranie haseł i innych poufnych plików.
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest FakeBat?
- KROK 1. Manualne usuwanie malware FakeBat.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.
Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware FakeBat. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?
Formatowanie urządzenia pamięci masowej może być skutecznym sposobem na usunięcie złośliwego oprogramowania, w tym FakeBat, ale jest to również drastyczny krok, który należy dokładnie rozważyć. Zanim zdecydujesz się na tę metodę, możesz spróbować przeprowadzić pełne skanowanie systemu za pomocą renomowanego oprogramowania antywirusowego lub chroniącego przed malware, aby wykryć i usunąć złośliwe oprogramowanie FakeBat.
Jakie są największe problemy, jakie może powodować malware?
Może to prowadzić do naruszeń danych, skutkujących kradzieżą wrażliwych danych osobowych lub firmowych, co prowadzi do kradzieży tożsamości, oszustw finansowych i szkody dla reputacji. Złośliwe oprogramowanie może również naruszyć integralność i funkcjonalność systemu, powodując awarie systemu, spowolnienie działania i potencjalnie uniemożliwiając działanie urządzeń. Co więcej, ułatwia nieautoryzowany zdalny dostęp do zainfekowanych urządzeń, umożliwiając cyberprzestępcom monitorowanie działań, wydobywanie danych i przeprowadzanie dalszych ataków.
Jaki jest cel malware FakeBat?
Głównym celem szkodliwego oprogramowania FakeBat jest pełnienie funkcji modułu ładującego i droppera służącego do dostarczania innych szkodliwych ładunków do zainfekowanego systemu. Zasadniczo FakeBat działa jak brama dla bardziej szkodliwego malware, które może przedostać się do systemu docelowego i naruszyć jego bezpieczeństwo.
Jak FakeBat przeniknęło do mojego komputera?
Dystrybucja FakeBat polega na wykorzystaniu Google Ads i Punycode do utworzenia zwodniczego adresu URL. Cyberprzestępcy używają fałszywego adresu URL, który bardzo przypomina legalną stronę KeePass, co utrudnia użytkownikom rozróżnienie między nimi. Komputery zostają zainfekowane poprzez złośliwy instalator pobrany z fałszywej strony.
Czy Combo Cleaner ochroni mnie przed malware?
Combo Cleaner potrafi identyfikować i usuwać prawie wszystkie dobrze znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że zaawansowane malware często ukrywa się głęboko w systemie. Dlatego konieczne jest przeprowadzenie kompleksowego skanowania systemu.
▼ Pokaż dyskusję