Como remover o CoffeeLoader de sistemas infectados
Escrito por Tomas Meskauskas a
Que tipo de malware é o CoffeeLoader?
O CoffeeLoader é um sofisticado carregador de malware concebido para implementar outro software malicioso, evitando a deteção. Utiliza técnicas avançadas (incluindo falsificação de pilha de chamadas, ofuscação de sono e execução baseada em GPU) para contornar as medidas de segurança. Os cibercriminosos foram vistos a utilizar o CoffeeLoader para implementar o malware Rhadamanthys.
Mais sobre o CoffeeLoader
Uma das principais caraterísticas do CoffeeLoader é a utilização de um empacotador chamado "Armoury", que executa o código na GPU do sistema. Esta técnica torna-o mais difícil de analisar em ambientes virtuais e melhora a sua capacidade de evitar a deteção.
O CoffeeLoader utiliza um algoritmo de geração de domínios (DGA) para se manter ligado aos seus servidores de comando e controlo (C2), criando novos domínios se os canais primários caírem. Também utiliza a fixação de certificados para bloquear ataques TLS man-in-the-middle, garantindo uma comunicação segura.
Sabe-se que o CoffeeLoader partilha uma série de semelhanças com o SmokeLoader, outro carregador de malware. Ambos utilizam técnicas como a injeção de processos, a resolução de importações por hash e a encriptação do tráfego de rede com chaves RC4 codificadas.
Descobertas recentes indicam que os cibercriminosos têm utilizado o CoffeeLoader para distribuir o malware Rhadamanthys - um ladrão de informação concebido para extrair dados de dispositivos infectados. O Rhadamanthys recolhe uma variedade de informações do dispositivo, tais como o nome do dispositivo, modelo, versão do sistema operativo, detalhes do hardware, software instalado e endereço IP.
Para além de recolher dados do sistema, o Rhadamanthys pode executar comandos PowerShell e visar ficheiros de documentos, o que pode causar sérios problemas se forem roubados dados sensíveis. Também tem como alvo carteiras de criptomoedas, tentando roubar palavras-passe ou frases-passe para obter acesso e roubar fundos.
| Nome | Carregador de malware CoffeeLoader |
| Tipo de ameaça | Carregador de Malware |
| Nomes de Deteção | Avast (FileRepMalware [Misc]), DTX (Dll.trojan.shelma), ESET-NOD32 (Uma variante de Generik.ZSZZQR), Kaspersky (Trojan.Win32.Shelma.chgq), Sophos (Mal/Generic-S), Lista completa (VirusTotal) |
| Carga útil | Rhadamanthys (e possivelmente outro malware) |
| Sintomas | Os Loaders podem ser concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que nenhum sintoma particular é claramente visível numa máquina infetada. |
| Métodos de distribuição | Anexos de correio eletrónico infectados, anúncios online maliciosos, engenharia social, 'cracks' de software. |
| Possíveis danos | Senhas e informações bancárias roubadas, roubo de identidade, o computador da vítima adicionado a uma botnet, perda monetária. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Possíveis danos
Em conclusão, o CoffeeLoader é um carregador de malware perigoso capaz de evitar a deteção. Como mencionado acima, o carregador é usado para implantar o Rhadamanthys. No entanto, os criminosos virtuais também podem usá-lo para distribuir ransomware e outros tipos de malware. Assim, é importante ter cuidado online para evitar CoffeeLoader e os riscos associados, incluindo perda monetária e roubo de identidade.
Mais exemplos de malware classificados como loader são Venom Loader, GodLoader, e BabbleLoader.
Como é que o CoffeeLoader se infiltrou no meu computador?
O malware é espalhado através de várias tácticas enganadoras. Os cibercriminosos escondem-no frequentemente em software pirateado, geradores de chaves ou ferramentas pirateadas, enviam e-mails enganadores com anexos ou ligações maliciosas ou exploram vulnerabilidades de software. Também utilizam esquemas de apoio técnico, unidades USB infectadas, anúncios maliciosos e descarregadores de terceiros.
Além disso, o malware pode ser distribuído através de redes Peer-to-peer (P2P) e sítios Web comprometidos. Geralmente, os cibercriminosos pretendem enganar os utilizadores para que tomem determinadas acções, como abrir ficheiros maliciosos, que desencadeiam infecções.
Como evitar a instalação de malware?
Descarregue software de fontes fiáveis, como sites oficiais ou lojas de aplicações, e evite versões pirateadas. Não abra anexos ou ligações encontrados em e-mails questionáveis (por exemplo, irrelevantes ou inesperados), especialmente de remetentes desconhecidos. Analise regularmente o seu sistema com uma ferramenta de segurança fiável e evite clicar em anúncios ou pop-ups suspeitos.
Mantenha o seu sistema operativo e software actualizados para diminuir as hipóteses de potenciais vulnerabilidades. Se acredita que o seu computador já está infetado, recomendamos a execução de uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é o CoffeeLoader?
- PASSO 1. Remoção manual do malware CoffeeLoader.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que os programas antivírus ou anti-malware façam isso automaticamente. Para remover esse malware, recomendamos o uso de Combo Cleaner.
Se desejar remover o malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, utilizando o gestor de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregar um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o registo e as localizações do sistema de ficheiros:
Reiniciar o computador no modo de segurança:
Utilizadores do Windows XP e do Windows 7: Inicie o computador no modo de segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar e clique em OK. Durante o processo de arranque do computador, prima a tecla F8 no teclado várias vezes até ver o menu Opções avançadas do Windows e, em seguida, selecione Modo de segurança com ligação em rede na lista.
Vídeo que mostra como iniciar o Windows 7 no "Modo de segurança com rede":
Utilizadores do Windows 8: Iniciar o Windows 8 no modo de segurança com rede - Aceda ao ecrã Iniciar do Windows 8, escreva Avançadas e, nos resultados da pesquisa, selecione Definições. Clique em Opções de arranque avançadas, na janela aberta "Definições gerais do PC", selecione Arranque avançado.
Clique no botão "Reiniciar agora". O computador será reiniciado no menu "Opções avançadas de inicialização". Clique no botão "Resolução de problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".
Clique no botão "Reiniciar". O PC será reiniciado no ecrã Definições de arranque. Prima F5 para iniciar no modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 8 no "Modo de segurança com rede":
Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone Energia. No menu aberto, clique em "Reiniciar" mantendo premido o botão "Shift" do teclado. Na janela "escolher uma opção", clique em "Resolução de problemas" e, em seguida, selecione "Opções avançadas".
No menu de opções avançadas selecione "Definições de arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar no botão "F5" do seu teclado. Isto irá reiniciar o seu sistema operativo em modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 10 no "Modo de segurança com rede":
Extraia o ficheiro descarregado e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Options" (Opções) na parte superior e desmarque as opções "Hide Empty Locations" (Ocultar locais vazios) e "Hide Windows Entries" (Ocultar entradas do Windows). Após este procedimento, clique no ícone "Refresh" (Atualizar).
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o seu caminho e nome completos. Note que alguns malwares escondem nomes de processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros de sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o seu nome e escolha "Eliminar".
Depois de remover o malware através da aplicação Autoruns (isto assegura que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de que ativa os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de que o remove.
Reinicie o computador no modo normal. Seguir estes passos deverá remover qualquer malware do seu computador. Tenha em atenção que a remoção manual de ameaças requer conhecimentos informáticos avançados. Se não tiver esses conhecimentos, deixe a remoção de malware para os programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas de malware. Como sempre, é melhor prevenir a infeção do que tentar remover o malware mais tarde. Para manter o seu computador seguro, instale as últimas actualizações do sistema operativo e utilize software antivírus. Para ter a certeza de que o seu computador está livre de infecções por malware, recomendamos que o analise com Combo Cleaner.
Perguntas Frequentes (FAQ)
O meu computador está infetado com malware CoffeeLoader, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação de um dispositivo de armazenamento pode remover o malware, mas nem sempre é necessária. Antes de considerar este passo, tente usar uma ferramenta de segurança confiável como o Combo Cleaner para detetar e eliminar o CoffeeLoader.
Quais são os maiores problemas que o malware pode causar?
As infecções por software maligno podem resultar em roubo de identidade, perdas financeiras, ficheiros encriptados, aquisição de contas e outros comprometimentos do sistema.
Qual é o objetivo de um CoffeeLoader?
O CoffeeLoader é um carregador de malware concebido para implantar cargas maliciosas adicionais (por exemplo, Rhadamanthys) enquanto evita a deteção.
Como é que um malware se infiltrou no meu computador?
O malware é frequentemente disseminado através de tácticas enganadoras, como a ocultação em software pirateado, geradores de chaves e ferramentas pirateadas. Os cibercriminosos também utilizam e-mails de phishing, exploram vulnerabilidades de software e empregam esquemas como o falso apoio técnico. Outros métodos incluem a utilização de unidades USB infectadas, anúncios maliciosos, descarregadores de terceiros, redes P2P e sites comprometidos.
O Combo Cleaner protege-me de malware?
O Combo Cleaner é eficaz na deteção e remoção da maioria das infecções por malware. No entanto, as ameaças sofisticadas podem esconder-se nas profundezas do sistema, tornando necessária uma verificação completa do sistema para garantir a erradicação completa.
Excelente!
▼ Mostrar comentários