banner malwarebytes

Vírus

Como remover Agent Tesla RAT

0
Agent Tesla é um malware sofisticado que tem sido uma ameaça significativa no cenário da segurança cibernética desde sua primeira aparição em 2014. É classificado como um Trojan de acesso remoto (RAT), o que significa que permite que invasores controlem remotamente um computador infectado. Ao longo dos anos, o Agente Tesla evoluiu, incorporando vários recursos que o tornam uma ferramenta potente para espionagem cibernética e roubo de dados. Este artigo investiga a história, recursos, métodos de infecção e técnicas de remoção do Agente Tesla RAT. O Agente Tesla é um RAT multifuncional com uma ampla gama de recursos. Ele é escrito em .NET e pode realizar keylogging, captura de área de transferência e captura de tela. Além disso, ele pode extrair credenciais de vários aplicativos, incluindo navegadores da web, clientes de e-mail, VPNs e clientes FTP. O malware também pode desativar utilitários do sistema, como o Gerenciador de Tarefas e o Painel de Controle, para evitar a detecção e remoção. Os dados roubados pelo Agente Tesla são geralmente criptografados usando o algoritmo Rijndael e codificados com uma função base64 não padrão antes de serem transmitidos para um servidor de comando e controle (C&C). Isso garante que as informações exfiltradas permaneçam confidenciais mesmo se forem interceptadas durante a transmissão.

Como remover VCURMS RAT

0
VCURMS RAT (Trojan de acesso remoto) é um tipo de malware que recentemente ganhou atenção devido ao seu método único de operação e à sofisticação de seus mecanismos de entrega. RATs são uma categoria de malware projetada para fornecer a um invasor controle remoto sobre um computador infectado. O VCURMS, em particular, é um RAT baseado em Java que tem sido observado em campanhas de phishing direcionadas aos usuários, induzindo-os a baixar downloaders maliciosos baseados em Java. O VCURMS RAT é um participante relativamente novo no cenário de ameaças cibernéticas, com semelhanças com outro infostealer baseado em Java, de codinome Rude Stealer, que surgiu no final do ano anterior. Ele foi detectado junto com o malware STRRAT mais estabelecido, que está ativo pelo menos desde 2020. A campanha envolvendo VCURMS foi conhecida por usar serviços públicos como Amazon Web Services (AWS) e GitHub para armazenar o malware, bem como empregando um protetor comercial para evitar a detecção. Remover um RAT como o VCURMS de um sistema infectado pode ser um desafio devido à sua capacidade de ocultar sua presença. Recomenda-se o uso de software antimalware confiável, capaz de detectar e remover RATs. Uma verificação completa do sistema deve ser realizada e quaisquer ameaças identificadas devem ser colocadas em quarentena e removidas.

Como detectar e remover malware Balada no site WordPress

0
Balada malware, também conhecido como Balada Injector, surgiu como uma ameaça significativa aos sites WordPress. Esta campanha de malware é sofisticada, aproveitando vulnerabilidades em temas e plug-ins do WordPress para injetar código PHP malicioso em sites. Compreender a natureza do malware Balada, seu processo de infecção, técnicas de detecção e remoção e medidas de proteção é crucial para administradores de sites e profissionais de segurança. O malware Balada tem como alvo sites WordPress, explorando vulnerabilidades em plug-ins do WordPress. Campanhas recentes exploraram duas vulnerabilidades específicas: CVE-2023-3169 no plugin tagDiv Composer e CVE-2023-6000 no plugin Popup Builder. Essas vulnerabilidades permitem ataques de scripts entre sites armazenados não autenticados (XSS), permitindo que invasores injetem scripts maliciosos no código HTML do site.

Como detectar e remover malware Sign1 no site WordPress

0
Sign1 malware é uma ameaça sofisticada que tem comprometido sites WordPress em grande escala. Mais de 39,000 sites foram afetados por esta campanha, que redireciona principalmente os visitantes para domínios fraudulentos e exibe anúncios pop-up indesejados. O processo de infecção do malware Sign1 envolve injeções de JavaScript que comprometem sites. Os invasores injetam o malware em widgets HTML personalizados e plug-ins legítimos em sites WordPress, que então injetam os scripts Sign1 maliciosos. Este método permite que hackers infectem sites sem colocar nenhum código malicioso nos arquivos do servidor, permitindo que o malware permaneça despercebido por períodos mais longos.

Como remover WINELOADER Backdoor

0
WINELOADER é um malware backdoor modular que foi recentemente observado visando autoridades europeias, especialmente aquelas com conexões com missões diplomáticas indianas. Esse backdoor faz parte de uma sofisticada campanha de espionagem cibernética chamada SPIKEDWINE, que se caracteriza por seu baixo volume e táticas, técnicas e procedimentos avançados (TTPs). A campanha usa engenharia social, aproveitando um convite falso para um evento de degustação de vinhos para atrair as vítimas a iniciar a cadeia de infecção do malware. WINELOADER é um backdoor anteriormente não documentado com design modular, o que significa que possui componentes separados que podem ser executados e atualizados de forma independente. O backdoor é capaz de executar comandos de um servidor de comando e controle (C2), injetando-se em outras bibliotecas de vínculo dinâmico (DLLs) e atualizando o intervalo de suspensão entre solicitações de beacon para o servidor C2. O malware usa técnicas sofisticadas de evasão, como criptografar seu módulo principal e módulos subsequentes baixados do servidor C2, recriptografar strings dinamicamente e empregar buffers de memória para armazenar resultados de chamadas de API. Ele também substitui as strings descriptografadas por zeros após o uso para evitar a detecção por ferramentas forenses de memória.

Como remover StrelaStealer

0
StrelaStealer é um tipo de malware do tipo ladrão que visa especificamente credenciais de login de contas de e-mail. Ele foi descoberto pela primeira vez por pesquisadores em novembro de 2022 e foi observado que ele era distribuído por meio de e-mails de spam direcionados a usuários que falam espanhol. O malware foi projetado para extrair credenciais de login de contas de e-mail de clientes de e-mail populares, como Microsoft Outlook e Mozilla Thunderbird. Depois que o malware é carregado na memória, o navegador padrão é aberto para mostrar a isca e tornar o ataque menos suspeito. Detalhes do StrelaStealer Após a execução, o StrelaStealer pesquisa no diretório '%APPDATA%\Thunderbird\Profiles' por 'logins.json' (conta e senha) e 'key4.db' (banco de dados de senhas) e exfiltra seu conteúdo para o servidor C2. Para Outlook, StrelaStealer lê o Registro do Windows para recuperar a chave do software e, em seguida, localiza os valores ‘Usuário IMAP’, ‘Servidor IMAP’ e ‘Senha IMAP’. A senha IMAP contém a senha do usuário em formato criptografado, portanto, o malware usa a função Windows CryptUnprotectData para descriptografá-la antes de ser exfiltrada para o C2 junto com o servidor e os detalhes do usuário. É crucial seguir as instruções de remoção na ordem correta e usar ferramentas antimalware legítimas e atualizadas para garantir a erradicação completa do malware. Após a remoção do malware, também é fundamental alterar todas as senhas imediatamente, pois as credenciais roubadas podem ter sido comprometidas.

Como remover MarioLocker Ransomware e descriptografar arquivos .wasted

0
MarioLocker é um software malicioso classificado como ransomware, um tipo de malware que criptografa os arquivos das vítimas, tornando-os inacessíveis. O principal objetivo dos invasores de ransomware é exigir um resgate das vítimas, normalmente em troca de uma chave de descriptografia necessária para desbloquear os arquivos criptografados. MarioLocker Ransomware anexa uma extensão exclusiva aos arquivos criptografados. Ele renomeia arquivos adicionando o .wasted ramal seguido por um número sequencial, como .wasted1, .wasted2, e assim por diante. Esta convenção de renomeação serve como um indicador claro da presença do ransomware no sistema. A nota de resgate é um componente crítico da estratégia do ransomware, fornecendo às vítimas instruções sobre como proceder. MarioLocker cria um arquivo de texto chamado @Readme.txt, que contém uma mensagem de resgate. Esse arquivo normalmente é colocado nos mesmos diretórios dos arquivos criptografados ou em um local de destaque, como a área de trabalho. A nota instrui as vítimas a abrir um arquivo chamado "WastedBitDecryptor" e seguir as etapas descritas nele. Além disso, ele direciona as vítimas para um arquivo chamado YourFiles.txt localizado no diretório "C:\Windows\Temp", que contém uma lista de arquivos criptografados.

Como remover RTM Locker Ransomware e descriptografar arquivos criptografados

0
RTM Locker Ransomware, também conhecido como Read The Manual Locker, emergiu como uma ameaça significativa no cenário da segurança cibernética. Este software malicioso faz parte de um modelo Ransomware as a Service (RaaS), onde os afiliados pagam uma porcentagem de seus lucros pelo uso da infraestrutura RTM Locker para lançar seus ataques. Este modelo facilitou a disseminação do RTM Locker, tornando-o uma ameaça predominante tanto para indivíduos como para organizações. Após a infecção, o RTM Locker acrescenta uma extensão exclusiva de 64 caracteres aos nomes de todos os arquivos criptografados, tornando-os inacessíveis aos usuários. Esta extensão é uma combinação de caracteres aleatórios, complicando significativamente a identificação e recuperação dos arquivos afetados. O método de criptografia usado pelo RTM Locker envolve uma combinação de criptografia assimétrica e simétrica, tornando praticamente impossível descriptografar os arquivos sem a chave privada do invasor. RTM Locker deixa cair uma nota de resgate chamada How To Restore Your Files.txt na área de trabalho da vítima. Esta nota informa as vítimas sobre a criptografia e exige contato dentro de 48 horas para evitar a divulgação pública dos dados criptografados. A nota alerta contra a tentativa de descriptografar os arquivos de forma independente, pois isso pode levar à perda permanente de dados.