Virus

BrasDex est classé comme un virus bancaire qui infecte les appareils Android (et Windows) pour accéder aux comptes bancaires et voler l'argent des victimes. Ce banquier spécifique a été observé en train de cibler des victimes dans la région brésilienne - récemment via une fausse application bancaire nommée "Brazilian Banco Santander". Auparavant, il infiltrait les appareils en se déguisant en applications de paramètres Android essentielles. BrasDex abuse des services d'accessibilité pour enregistrer les informations saisies dans les applications bancaires. Cependant, au lieu d'afficher des écrans superposés (faux) pour inciter les utilisateurs à saisir leurs identifiants de connexion, il les enregistre eux-mêmes dans les applications bancaires ciblées. Contrairement à d'autres logiciels malveillants bancaires, BrasDex utilise également un mécanisme ATS (Automated Transfer System), qui permet aux cybercriminels d'effectuer des transactions frauduleuses de manière automatisée, automatisant ainsi les activités malveillantes et augmentant les profits illégaux. En outre, il est également connu que BrasDex exploite un système de paiement rapide Pix populaire qui a été développé par la Banque centrale du Brésil. Cela facilite la tâche des cybercriminels, car tout ce dont ils ont besoin est l'identifiant de la victime (qui peut être un e-mail, un CPF, un numéro de téléphone ou un identifiant aléatoire). Veuillez noter que le système Pxi n'est pas vulnérable - les pirates utilisent simplement ce système pour accélérer le processus de transferts frauduleux. Beaucoup plus d'informations techniques sur BrasDex peuvent être découvertes dans ce rapport réalisé par ThreatFabric. BrasDex est un virus dangereux qui peut causer des pertes financières désagréables et des problèmes de confidentialité - assurez-vous donc de lire notre guide ci-dessous et de supprimer ce logiciel malveillant dévastateur de votre appareil. Une fois cela fait, il est également important de modifier vos identifiants de connexion.

GodFather est le nom d'un cheval de Troie bancaire qui cible les appareils Android. Les développeurs à l'origine de ce logiciel malveillant cherchent à exfiltrer les identifiants de compte et à les utiliser pour accéder à plus de 400 pages bancaires en ligne et échanges cryptographiques dans 16 pays du monde. Le cheval de Troie GodFather fonctionne en créant des écrans de connexion superposés et en les affichant sur des applications ou des pages Web légitimes. De cette façon, il incite les utilisateurs à saisir leurs données de connexion sur de faux écrans, ce qui permet aux acteurs de la menace d'accéder à des comptes liés à la finance et d'en abuser à des fins de fraude financière. Avant que GodFather ne devienne capable d'effectuer une telle action malveillante, les utilisateurs doivent autoriser certaines autorisations (accès aux SMS et aux notifications, enregistrement d'écran, contacts, appels, enregistrement sur un stockage externe et lecture de l'état de l'appareil) dans la fenêtre du service d'accessibilité. Le cheval de Troie le fait en imitant l'outil légitime "Google Protect", donnant ainsi au processus un aspect ordinaire et moins susceptible de déclencher les soupçons des utilisateurs. Une fois les autorisations accordées, le cheval de Troie a toute liberté pour exécuter ses actions malveillantes. GodFather abuse également de l'accès accordé pour compliquer la suppression manuelle, voler les codes d'authentification à deux facteurs, traiter différentes commandes et détourner les données des champs PIN et mot de passe. Si vous souhaitez en savoir plus sur les spécifications techniques du cheval de Troie bancaire GodFather, vous pouvez consulter cette page. En résumé, GodFather est une infection très dévastatrice qui peut entraîner des pertes financières importantes, c'est pourquoi elle doit être supprimée complètement et sans laisser de traces de votre appareil. Utilisez notre guide ci-dessous pour le faire.

Lucknite (ETH) or LuckniteRansom est un virus ransomware qui a récemment été inspecté par des chercheurs de logiciels malveillants. Le but de ce type de logiciel malveillant est de crypter des données potentiellement importantes et de les garder en otage jusqu'à ce que les victimes paient une rançon. Lors du chiffrement, ce rançongiciel attribue également le .lucknite extension à chaque fichier ciblé. Par exemple, initialement nommé 1.pdf va changer pour 1.pdf.lucknite et perdre son icône de raccourci après le cryptage. Après cela, les cybercriminels disposent d'instructions de décryptage dans le README.txt note. Parfois, le contenu de la rançon peut varier légèrement en fonction de la version du ransomware qui affecte le système.

OBZ est un virus de type ransomware qui crypte l'accès aux données et fait chanter les victimes pour qu'elles paient de l'argent pour le décryptage. Au moment du cryptage, le virus altère les fichiers ciblés avec le .OBZ extension. Par exemple, un fichier initialement nommé 1.pdf se transformera en 1.pdf.OBZ or 1.pdf.obz selon la version du ransomware qui a pénétré le système. De plus, les victimes ont également signalé avoir vu un processus malveillant nommé Traffic Light dans le Gestionnaire des tâches de Windows. Une fois le processus de cryptage terminé, OBZ Ransomware crée un document texte (ReadMe.txt) qui contient des instructions de déchiffrement. Il est à noter que le contenu de cette note de rançon est identique à d'autres précédemment découverts U2K ainsi que MME ransomware, ce qui peut indiquer qu'OBZ a été développé par le même groupe de développeurs.

CryWiper est un virus dévastateur qui endommage la configuration des données pour les rendre inaccessibles, puis demande de l'argent aux victimes pour un faux décryptage. Les développeurs de CryWiper déguisent leur logiciel en ransomware qui crypte les données, cependant, il s'agit en fait d'un effaceur de données qui corrompt simplement les fichiers. Lors de l'exécution du "cryptage", le virus supprime tous les clichés instantanés du lecteur racine et ajoute le nouveau .CRY extension pour mettre en surbrillance les fichiers. Par exemple, un fichier initialement nommé 1.pdf se transformera en 1.pdf.CRY et s'endommager de façon permanente. Après cela, CryWiper crée un fichier appelé README.txt avec des instructions de décryptage trompeuses. Il est connu que CryWiper évite d'endommager les fichiers .exe, .dll, .lnk, .msi et .sys et autres stockés dans les répertoires Boot, System et Windows. En outre, ce virus a également été observé se propager via le browserupdate.exe fichier malveillant, programmé en langage C++ et ciblant des organisations localisées en Russie.

Beijing est une infection classée ransomware qui crypte l'accès aux données et exige que les victimes paient de l'argent pour son décryptage. Ce chiffreur de fichiers est également probablement publié par les mêmes cybercriminels qui ont précédemment développé un autre logiciel de rançon nommé LeakTheMall. Pendant le cryptage, les victimes verront leurs fichiers changer visuellement - c'est le nouveau .beijing qui leur seront éventuellement ajoutés. Par exemple, un nommé à l'origine 1.pdf va changer pour 1.pdf.beijing et ne deviennent plus accessibles. Après cela, le virus crée des instructions textuelles dans !RECOVER.txt expliquant ce qu'il faut faire pour récupérer les données.

SearchBlox (plus de 200,000 3 téléchargements) est une extension de navigateur malveillante conçue pour pirater les comptes Roblox. Cette extension est ostensiblement développée pour aider les joueurs de Roblox à rechercher rapidement différents serveurs et à jouer prétendument avec des YouTubers célèbres. En fait, tout récemment, on a découvert que SearchBlox avait un JavaScript malveillant, qui permet aux développeurs d'accéder aux comptes Roblox, d'échanger automatiquement des objets limités (de facto de les voler) via la plate-forme de Rolimon et de voler Robux (monnaie du jeu) également. SearchBlox est similaire à une autre extension malveillante appelée RoSearcher, qui était populaire il y a environ XNUMX mois et était également utilisée pour voler des comptes Roblox. Et bien que les deux ne soient plus disponibles pour l'installation à partir du Chrome Web Store, ils ont réussi à marquer un certain nombre de téléchargements et continuent d'affecter de nombreux joueurs qui ne connaissent pas leurs capacités malveillantes. Ainsi, si l'extension SearchBlox (ou autre) venait à s'installer dans votre navigateur, nous vous conseillons vivement de la supprimer immédiatement. Utilisez notre guide étape par étape pour le faire ci-dessous. Après cela, il vaut également la peine de changer vos identifiants de connexion (mot de passe) pour votre compte Roblox afin d'éviter d'autres abus ou pas encore arrivés.

Trigona est le nom d'un virus rançongiciel qui crypte les données des utilisateurs professionnels (par exemple, les entreprises) et demande de l'argent pour le décryptage des fichiers. Lors du chiffrement, il ajoute le nouveau ._locked extension (par exemple, 1.pdf._locked) et crée un fichier nommé how_to_decrypt.hta après avoir réussi. Ce fichier contient des instructions avec des étapes sur ce que les victimes doivent faire pour déchiffrer leurs données. On dit que toutes les informations critiques, telles que les documents, les bases de données, les sauvegardes locales, etc. ont été cryptées et divulguées. Les cybercriminels mentionnent également que le décryptage des fichiers est impossible sans leur implication directe. En outre, il est mentionné que les données de ceux qui refusent de collaborer avec des cybercriminels seront vendues à des personnalités potentiellement intéressées par son abus. Pour éviter tout cela, les acteurs de la menace guident les victimes pour qu'elles ouvrent une page de décryptage via le navigateur TOR et contactent les développeurs de ransomwares.