Come rimuovere KandyKorn da macOS
Scitto da Tomas Meskauskas il (aggiornato)
Che tipo di malware KandyKorn?
Un malware macOS scoperto di recente chiamato KandyKorn è stato trovato in un attacco collegato al gruppo di hacker nordcoreano Lazarus. I loro obiettivi sono gli ingegneri blockchain che lavorano con piattaforme di scambio di criptovaluta. Gli aggressori fingono di far parte della comunità di criptovaluta su Discord per condividere moduli Python, che poi danno il via a un complicato processo di infezione che coinvolge KandyKorn.
Panoramica sul malware KandyKorn
KandyKorn è un payload altamente sofisticato della fase finale utilizzato come strumento che consente agli autori delle minacce di infiltrarsi ed estrarre dati dal computer compromesso. Operando di nascosto in background come demone, KandyKorn attende pazientemente i comandi dal server Command and Control (C2).
Questo malware versatile supporta vari comandi, ciascuno su misura per molteplici scopi. Questi comandi consentono agli aggressori di eseguire azioni che vanno dalla raccolta di informazioni di sistema all'elenco dei contenuti delle directory al caricamento e all'estrazione di file, all'eliminazione sicura di file, alla gestione dei processi in esecuzione, all'esecuzione di comandi di sistema e persino all'avvio di una sessione di shell interattiva per un maggiore controllo pratico.
Le conseguenze che le vittime potrebbero dover affrontare a causa di questo malware versatile, in grado di eseguire un'ampia gamma di comandi, sono molteplici e possono essere altamente dannose.
La capacità di KandyKorn di raccogliere informazioni di sistema ed elencare i contenuti delle directory consente agli aggressori di ottenere informazioni approfondite sul sistema della vittima, portando potenzialmente al furto di dati sensibili, come credenziali di accesso, informazioni finanziarie o file proprietari.
Caricando ed esfiltrando file, gli aggressori possono commettere furti di dati, che potrebbero comportare la compromissione della proprietà intellettuale, perdite finanziarie o violazioni dei dati. La capacità del malware di eliminare in modo sicuro i file solleva preoccupazioni per le vittime, poiché potrebbe essere utilizzato per coprire le loro tracce cancellando le prove delle loro attività, rendendo difficile per i professionisti della sicurezza informatica indagare o recuperare i dati persi.
La gestione dei processi in esecuzione può interrompere le operazioni del sistema della vittima e potenzialmente causare instabilità o arresti anomali del sistema. Inoltre, l'esecuzione di comandi di sistema e l'avvio di una sessione di shell interattiva danno agli aggressori un controllo significativo sul computer della vittima, consentendo loro di svolgere varie attività dannose, come l'installazione di malware aggiuntivo, la modifica delle impostazioni di sistema o il lancio di attacchi informatici.
Nel complesso, le ampie capacità di KandyKorn creano un ampio spettro di potenziali conseguenze per le vittime, tra cui violazioni dei dati, perdite finanziarie, interruzioni del sistema e una significativa invasione della privacy.
Nome | KandyKorn macOS malware |
Tipologia di minaccia | Mac malware, Mac virus |
Nomi rilevati | Avast (MacOS:Agent-ACF [Trj]), Combo Cleaner (Gen:Variant.Trojan.MAC.Agent.5), ESET-NOD32 (OSX/NukeSped.AE), Kaspersky (HEUR:Backdoor.OSX.Agent.ao ), Elenco completo dei rilevamenti (VirusTotal) |
Sintomi | Le app dannose come KandyKorn sono progettate per infiltrarsi furtivamente nel computer della vittima e rimanere silenziose, pertanto nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
Metodi distributivi | Discord, ingegneria sociale, file ZIP ingannevoli. |
Danni | Perdita monetaria, furto di identità, infezioni aggiuntive, perdita di dati, interruzioni del sistema, violazione della privacy e altro ancora. |
Rimozione dei malware (Mac) | Per eliminare possibili infezioni malware, scansiona il tuo Mac con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Conclusioni
In conclusione, KandyKorn è un malware macOS altamente sofisticato associato al gruppo di hacker Lazarus, progettato per attacchi mirati contro ingegneri blockchain e piattaforme di scambio di criptovalute. La sua catena di infezione in più fasi, avviata attraverso l'imitazione di Discord, garantisce agli aggressori un'ampia gamma di funzionalità, dal furto di dati e manipolazione di file all'interruzione del sistema e all'esecuzione di comandi.
Altri esempi di malware destinati agli utenti macOS sono MetaStealer, XLoader, e JokerSpy.
Come è stato installato KandyKorn sul mio computer?
Il processo di infezione viene avviato su Discord con un approccio di ingegneria sociale progettato per indurre gli obiettivi a scaricare un archivio ZIP ingannevole denominato "Cross-platform Bridges.zip". Questo archivio si maschera da legittimo bot di arbitraggio per il trading di criptovalute.
Dopo aver estratto il contenuto dell'archivio ZIP, viene avviato uno script Python chiamato "Main.py", che importa 13 moduli, incluso "Watcher.py", un downloader. Watcher.py procede a decomprimere ed eseguire "testSpeed.py" mentre ottiene "FinderTools" da un URL di Google Drive.
FinderTools funge da contagocce, recuperando ed eseguendo un binario offuscato denominato "SugarLoader". SugarLoader stabilisce una connessione con un server di comando e controllo (C2) e carica il payload finale, KandyKorn.
Come evitare l'installazione di applicazioni dannose?
Ottieni software e file solo da fonti attendibili (pagine ufficiali e store di applicazioni) e fai attenzione agli allegati e-mail e ai collegamenti in e-mail sospette provenienti da fonti sconosciute. Evita di fare clic sugli annunci pop-up o di visitare siti Web potenzialmente dannosi. Mantieni aggiornati il tuo sistema operativo, il software e i programmi antivirus.
Utilizza un software antivirus affidabile e non scaricare mai software piratato o strumenti progettati per aggirare l'attivazione del software. Se il tuo computer è già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente tutte le minacce.
Rimozione automatica istantanea dei malware dal tuo Mac:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware dai Mac. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner per Mac
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 3 giorni di prova gratuita limitata. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
Video che mostra come rimuovere adware e browser hijacker da un computer Mac:
Rimozione delle applicazioni indesiderate:
Rimuovi le applicazioni potenzialmente indesiderate dalla cartella "Applicazioni":
Fai clic sull'icona del Finder. Nella finestra del Finder, seleziona "Applicazioni". Nella cartella delle applicazioni, cerca "MPlayerX","NicePlayer" o altre applicazioni sospette e trascinale nel Cestino. Dopo aver rimosso le applicazioni potenzialmente indesiderate che causano pubblicità online, scansiona il tuo Mac per eventuali componenti indesiderati rimanenti.
Domande Frequenti (FAQ)
Il mio computer è infetto dal malware KandyKorn, devo formattare il mio dispositivo di archiviazione per sbarazzarmene?
La formattazione del dispositivo di archiviazione è una soluzione drastica e dovrebbe essere considerata l'ultima risorsa. Prima di farlo, prova a eseguire un software di sicurezza affidabile come Combo Cleaner per scansionare e rimuovere il malware KandyKorn.
Quali sono i maggiori problemi che un malware può causare?
Il malware può causare problemi significativi, tra cui perdita di dati, furto di identità, frode finanziaria e instabilità del sistema. Può portare al furto di informazioni personali e finanziarie sensibili, nonché alla perdita di dati critici. Il malware può anche danneggiare o interrompere i sistemi informatici, rallentandone le prestazioni e rendendoli potenzialmente inutilizzabili. Inoltre, può essere utilizzato come strumento per attacchi informatici, come gli attacchi DDoS (Distributed Denial of Service).
Qual è lo scopo del malware KandyKorn?
KandyKorn consente agli autori delle minacce di raccogliere informazioni sensibili sul sistema, elencare i contenuti delle directory, caricare ed estrarre file, eliminare file in modo sicuro, gestire processi in esecuzione, eseguire comandi di sistema e avviare sessioni di shell interattive, fornendo un ampio controllo sul computer della vittima.
In che modo il malware KandyKorn si è infiltrato nel mio computer?
Il malware KandyKorn viene diffuso tramite un attacco di ingegneria sociale Discord. Le vittime vengono indotte con l'inganno a scaricare un archivio ZIP ingannevole che si spaccia per un bot di arbitraggio di criptovaluta. Questo archivio contiene uno script Python, "Main.py", che attiva una catena di processi, inclusa l'esecuzione di "SugarLoader", stabilendo infine una connessione a un server di comando e controllo (C2) e caricando KandyKorn come carico utile finale.
Combo Cleaner mi proteggerà dai malware?
Combo Cleaner ha la capacità di rilevare e rimuovere quasi tutte le infezioni malware più note. I malware più sofisticati spesso si nascondono in profondità nel sistema. Pertanto, è essenziale eseguire una scansione completa del sistema per eliminarli.
▼ Mostra Discussione