Como remover o KandyKorn do macOS
Escrito por Tomas Meskauskas a (atualizado)
Que tipo de malware é o KandyKorn?
Um malware para macOS recentemente descoberto, denominado KandyKorn, foi encontrado num ataque ligado ao grupo de piratas informáticos norte-coreano Lazarus. Os seus alvos são engenheiros de blockchain que trabalham com plataformas de troca de criptomoedas. Os invasores fingem fazer parte da comunidade de criptomoedas no Discord para partilhar módulos Python, que depois dão início a um complicado processo de infeção que envolve o KandyKorn.
Visão geral do malware KandyKorn
O KandyKorn é uma carga útil de fase final altamente sofisticado, utilizado como uma ferramenta que permite aos responsáveis pela ameaça infiltrarem-se e extraírem dados do computador comprometido. Operando secretamente em segundo plano como um agente daemon, o KandyKorn aguarda pacientemente os comandos do servidor de Comando e Controlo (C2).
Este malware versátil suporta vários comandos, cada um adaptado a vários objectivos. Estes comandos permitem que os invasores executem acções que vão desde a recolha de informações sobre o sistema e a listagem do conteúdo dos directórios até ao carregamento e exfiltração de ficheiros, à eliminação segura de ficheiros, à gestão de processos em execução, à execução de comandos do sistema e até ao início de uma sessão de shell interactiva para um maior controlo prático.
As consequências que as vítimas podem enfrentar como resultado deste malware versátil, capaz de executar uma vasta gama de comandos, são multifacetadas e podem ser altamente prejudiciais.
A capacidade do KandyKorn para recolher informações do sistema e listar o conteúdo dos directórios permite que os invasores obtenham uma visão profunda do sistema da vítima, levando potencialmente ao roubo de dados sensíveis, tais como credenciais de login, informações financeiras ou ficheiros proprietários.
Ao carregarem e exfiltrarem ficheiros, os invasores podem envolver-se no roubo de dados, o que pode resultar em propriedade intelectual comprometida, perdas financeiras ou violações de dados. A capacidade do malware para apagar ficheiros de forma segura suscita preocupações às vítimas, uma vez que pode ser utilizado para encobrir os seus rastos, apagando provas das suas actividades, o que torna difícil para os profissionais de cibersegurança investigar ou recuperar dados perdidos.
A gestão de processos em execução pode perturbar as operações do sistema da vítima e potencialmente levar à instabilidade ou falhas do sistema. Além disso, a execução de comandos do sistema e o início de uma sessão de shell interactiva dão aos invasores um controlo significativo sobre o computador da vítima, permitindo-lhes realizar várias actividades maliciosas, como a instalação de malware adicional, a alteração das definições do sistema ou o lançamento de ataques cibernéticos.
De um modo geral, as vastas capacidades da KandyKorn criam um amplo espetro de potenciais consequências para as vítimas, incluindo violações de dados, perdas financeiras, perturbações do sistema e uma invasão significativa da privacidade.
Nome | malware do macOS KandyKorn |
Tipo de Ameaça | Malware para Mac, vírus para Mac |
Nomes de Detecção | Avast (MacOS:Agent-ACF [Trj]), Combo Cleaner (Gen:Variant.Trojan.MAC.Agent.5), ESET-NOD32 (OSX/NukeSped.AE), Kaspersky (HEUR:Backdoor.OSX.Agent.ao), Lista Completa de Detecções (VirusTotal) |
Sintomas | As aplicações maliciosas como o KandyKorn são concebidas para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosas, pelo que não são visíveis quaisquer sintomas específicos numa máquina infetada. |
Métodos de Distribuição | Discord, Engenharia social, ficheiros ZIP fraudulentos. |
Danos | Perda monetária, roubo de identidade, infecções adicionais, perda de dados, perturbações do sistema, invasão da privacidade e muito mais. |
Remoção do Malware (Mac) | Para eliminar possíveis infecções por malware, verifique o seu Mac com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Conclusão
Em suma, o KandyKorn é um malware para macOS altamente sofisticado, associado ao grupo de piratas informáticos Lazarus, concebido para ataques direccionados a engenheiros de cadeias de blocos e plataformas de troca de criptomoedas. A sua cadeia de infeção em várias fases, iniciada através da personificação do Discord, concede aos invasores uma vasta gama de capacidades, desde o roubo de dados e manipulação de ficheiros até à perturbação do sistema e execução de comandos.
Mais exemplos de malware direcionado para os utilizadores do macOS MetaStealer, XLoader, e JokerSpy.
Como é que o KandyKorn foi instalado no meu computador?
O processo de infeção inicia-se no Discord com uma abordagem de engenharia social concebida para enganar os alvos e levá-los a descarregar um arquivo ZIP fraudulento denominado "Cross-platform Bridges.zip". Este ficheiro disfarça-se como um legítimo bot de arbitragem para negociação de criptomoedas.
Após extrair o conteúdo do arquivo ZIP, um script Python denominado "Main.py" é iniciado, importando 13 módulos, incluindo "Watcher.py", um descarregador. O Watcher.py continua a descompactar e executar o "testSpeed.py" enquanto obtém o "FinderTools" a partir de um URL do Google Drive.
O FinderTools actua como um conta-gotas, obtendo e executando um binário ofuscado denominado "SugarLoader". O SugarLoader estabelece uma ligação com um servidor de comando e controlo (C2) e carrega a carga final, o KandyKorn.
Como evitar a instalação de aplicações maliciosas?
Obtenha software e ficheiros apenas de fontes respeitáveis (páginas oficiais e lojas de aplicações) e tenha cuidado com anexos de email e hiperligações em emails suspeitos de fontes desconhecidas. Evite clicar em anúncios pop-up ou visitar sites potencialmente perigosos. Mantenha o seu sistema operativo, software e programas antivírus actualizados.
Utilize software antivírus fidedigno e nunca descarregue software pirata ou ferramentas concebidas para contornar a ativação do software. Se o seu computador já estiver infetado, recomendamos a execução de uma verificação com Combo Cleaner para eliminar automaticamente todas as ameaças.
Remoção automática instantânea do malware Mac:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware Mac. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner para Mac
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
O vídeo demonstra como remover adware e sequestradores de navegador de um computador Mac:
Remoção de aplicações indesejadas:
Remova as aplicações potencialmente indesejadas da pasta "Aplicações":
Clique no ícone do Finder. Na janela do Finder, seleccione "Aplicações". Na pasta das aplicações, procure "MPlayerX","NicePlayer", ou outras aplicações suspeitas e arraste-as para a Reciclagem. Depois de remover a(s) aplicação(s) potencialmente indesejada(s) que causa(m) anúncios online, analise o seu Mac relativamente a qualquer componente indesejado restante.
Perguntas Frequentes (FAQ)
O meu computador está infectado com malware KandyKorn, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação do dispositivo de armazenamento é uma solução drástica e deve ser considerada como último recurso. No entanto, antes de fazer isso, tente executar um software de segurança respeitável como o Combo Cleaner para verificar e remover o malware KandyKorn.
Quais são os principais problemas que o malware pode causar?
O malware pode causar problemas significativos, incluindo perda de dados, roubo de identidade, fraude financeira e instabilidade do sistema. Pode levar ao roubo de informações pessoais e financeiras sensíveis, bem como à perda de dados críticos. O malware pode também danificar ou perturbar os sistemas informáticos, abrandando o desempenho e tornando-os potencialmente inoperacionais. Além disso, pode ser utilizado como ferramenta para ataques cibernéticos, como os ataques de negação de serviço distribuído (DDoS).
Qual é o objectivo do malware KandyKorn?
O KandyKorn permite aos agentes da ameaça recolher informações sensíveis do sistema, listar o conteúdo dos directórios, carregar e exfiltrar ficheiros, eliminar ficheiros de forma segura, gerir processos em execução, executar comandos do sistema e iniciar sessões de shell interactivas, proporcionando um controlo extensivo sobre o computador da vítima.
Como é que o malware KandyKorn se infiltrou no meu computador?
O malware KandyKorn é distribuído através de um ataque de engenharia social do Discord. As vítimas estão a ser enganadas para descarregar um arquivo ZIP fraudulento que se faz passar por um bot de arbitragem de criptomoedas. Este arquivo contém um script Python, "Main.py", que desencadeia uma cadeia de processos, incluindo a execução do "SugarLoader", estabelecendo, em última análise, uma ligação a um servidor de comando e controlo (C2) e carregando o KandyKorn como carga útil final.
O Combo Cleaner protege-me de malware?
O Combo Cleaner tem a capacidade de detetar e remover quase todas as infecções de malware conhecidas. O malware sofisticado muitas vezes oculta-se profundamente no interior do sistema. Por isso, é essencial efetuar uma verificação completa do sistema.
▼ Mostrar comentários