Come rimuovere il trojan di accesso remoto SugarGh0st
Scitto da Tomas Meskauskas il (aggiornato)
Che tipo di malware è SugarGh0st?
Il malware SugarGh0st è un trojan di accesso remoto (RAT). Stabilisce l'accesso remoto e il controllo sulle macchine infette. È molto probabile che SugarGh0st sia basato su Gh0st RAT.
È stato osservato che questo programma dannoso viene utilizzato in più campagne, probabilmente a partire dall'agosto 2023. Questi attacchi sono stati contro utenti in Corea del Sud e dipendenti governativi in Uzbekistan. Ci sono alcune prove che suggeriscono che gli autori delle minacce dietro queste campagne siano di lingua cinese, ma questa determinazione non è definitiva.
Panoramica del malware SugarGh0st
Negli attacchi di SugarGh0st sono state notate due distinte catene di infezione; entrambe utilizzavano file LNK (collegamento Windows). Dopo l'infiltrazione riuscita, questo trojan inizia a raccogliere dati rilevanti sul dispositivo, ad esempio nome del dispositivo, versione del sistema operativo, chiave di registro, processi in esecuzione, ecc.
Come accennato nell'introduzione, SugarGh0st è progettato per consentire l'accesso/controllo remoto sui dispositivi. Questo RAT è un software dannoso sofisticato: ha funzionalità backdoor e può eseguire vari comandi su sistemi compromessi.
Per elaborare alcune delle sue funzionalità, questo malware è in grado di aumentare i propri privilegi. Può gestire file, ovvero cercare, leggere, spostare, copiare, scaricare (esfiltrare) ed eliminare. Il trojan può anche ottenere codice dannoso dal suo server C&C (Comando e Controllo) per funzionalità aggiuntive.
SugarGh0st può terminare i processi attivi. Anche l'acquisizione di screenshot, il keylogging (registrazione della sequenza di tasti), il mouse virtuale (manipolazione del mouse) e la registrazione video tramite fotocamere integrate/collegate rientrano tra le abilità del RAT.
Le funzionalità precedentemente elencate erano presenti in Gh0st RAT – il presunto predecessore di SugarGh0st. Le nuove funzionalità includono misure anti-rilevamento avanzate. Questo trojan può scaricare file di libreria selezionati per estensione e nome della funzione. Cerca inoltre le chiavi di registro ODBC (Open Database Connectivity) specificate.
È opportuno ricordare che gli sviluppatori di malware comunemente migliorano il proprio software e le proprie metodologie; pertanto, eventuali versioni future di SugarGh0st potrebbero avere funzionalità aggiuntive o caratteristiche diverse.
In sintesi, la presenza di software dannoso come SugarGh0st sui dispositivi può comportare gravi problemi di privacy, perdite finanziarie e furti di identità. Va detto che gli attacchi contro obiettivi altamente sensibili (come quelli che forniscono servizi essenziali) comportano rischi ancora maggiori.
| Nome | Trojan di accesso remoto SugarGh0st |
| Tipologia di minaccia | Trojan, RAT, Trojan di accesso remoto, virus che rubano password, malware bancario, spyware. |
| Nomi rilevati | Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.69401344), ESET-NOD32 (Win32/Agent.AFVD), Kaspersky (HEUR:Trojan.Win32.Loader.gen), Microsoft (Trojan:Win32/Phonzy .A!ml), Elenco completo dei rilevamenti (VirusTotal) |
| Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
| Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, "crack" del software. |
| Danni | Password e informazioni bancarie rubate, furto d'identità, computer della vittima aggiunto a una botnet. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di trojan di accesso remoto
NineRAT, DLRAT, Millenium, ZenRAT, e ValleyRAT sono solo alcuni esempi di RAT di cui abbiamo scritto di recente. Anche se questi trojan tendono ad essere estremamente versatili, alcuni possono essere realizzati per scopi incredibilmente specifici.
Indipendentemente dal fatto che un malware abbia usi limitati o un’ampia applicazione, la presenza di questo software su un sistema minaccia l’integrità del dispositivo e la sicurezza dell’utente. È essenziale rimuovere le minacce immediatamente dopo il rilevamento.
In che modo SugarGh0st si è infiltrato nel mio computer?
Nelle infezioni SugarGh0st osservate, a seguito dell'apertura del file dannoso iniziale, alla vittima viene presentato un documento esca. Esempi noti in coreano includono: un file con contenuti copiati da CoinDesk Korea, una fonte di notizie online su criptovaluta e risorse digitali, istruzioni di manutenzione IT per i dipendenti e un messaggio riguardante la creazione di un account Microsoft utilizzando una password casuale.
Un altro file esca ha preso di mira individui associati al Ministero degli Affari Esteri dell'Uzbekistan; il documento prevede piani dettagliati per l'amministrazione statale e miglioramenti della regolamentazione tecnica come previsto da un decreto presidenziale.
È molto probabile che i file infettivi (che mostrano le esche) siano stati proliferati tramite campagne di spam via e-mail. Va detto che altri file esca o metodi di distribuzione non sono improbabili.
Lo spam è ampiamente utilizzato nella distribuzione di malware. Oltre alle e-mail, a questo scopo vengono utilizzati PM/DM, SMS, post sui social media/forum e altre modalità di comunicazione.
Altre tecniche di proliferazione popolari includono download drive-by (nascosti/ingannevoli), truffe online, malvertising, canali di download non affidabili (ad esempio siti di hosting di file non ufficiali e gratuiti, reti di condivisione P2P, ecc.), contenuti piratati, strumenti di attivazione di software illegali ("crack") e aggiornamenti falsi.
Inoltre, alcuni programmi dannosi possono diffondersi autonomamente tramite reti locali e dispositivi di archiviazione rimovibili (ad esempio dischi rigidi esterni, unità flash USB, ecc.).
Il malware viene solitamente mascherato o fornito in bundle con normali software/file multimediali. Sono disponibili in vari formati, ad esempio archivi (ZIP, RAR, ecc.), eseguibili (.exe, .run, ecc.), documenti (Microsoft Office, Microsoft OneNote, PDF, ecc.), JavaScript e così via. Una volta aperto, un file virulento avvia la catena di download ed installazione del malware.
Come evitare l'installazione di malware?
Raccomandiamo vivamente di affrontare con cautela le email in arrivo e gli altri messaggi. Gli allegati o i collegamenti presenti in posta dubbia/irrilevante non devono essere aperti poiché possono essere infettivi. È importante utilizzare versioni di Microsoft Office successive al 2010 poiché la modalità "Visualizzazione protetta" impedisce l'esecuzione automatica dei comandi macro.
Inoltre, tutti i download devono essere eseguiti da fonti ufficiali e verificate. Consigliamo di attivare e aggiornare i programmi utilizzando funzioni/strumenti legittimi, poiché quelli acquisiti da terze parti potrebbero contenere malware.
Un'altra raccomandazione è quella di fare attenzione durante la navigazione poiché i contenuti online fraudolenti e dannosi di solito appaiono autentici e innocui.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. È necessario utilizzare un software di sicurezza per eseguire scansioni regolari del sistema e rimuovere minacce e problemi rilevati. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Schermate dei documenti esca scaricati e aperti durante l'iniezione del malware SugarGh0st:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Cos'è SugarGh0st?
- STEP 1. Rimozione manuale del malware SugarGh0st.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner.
Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":
Windows 8:
Avvia Windows 8 è in modalità provvisoria con rete: vai alla schermata iniziale di Windows 8, digita Avanzate, nei risultati della ricerca seleziona Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.
Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà ora nel "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".
Fare clic sul pulsante "Riavvia". Il tuo PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate".
Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrai l'archivio scaricato ed esegui il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controlla l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema.
Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuro che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
Domande Frequenti (FAQ)
Il mio computer è infetto dal malware SugarGh0st, devo formattare il mio dispositivo di archiviazione per sbarazzarmene?
La formattazione è raramente necessaria quando si rimuovono programmi dannosi.
Quali sono i maggiori problemi che il malware SugarGh0st può causare?
Il pericolo di un'infezione dipende dalle funzionalità del malware e dal modus operandi dei criminali informatici. SugarGh0st RAT è progettato per consentire l'accesso/controllo remoto su macchine compromesse. Ha un’ampia varietà di funzionalità, che vanno da quelle mirate a favorire l’infezione al furto di dati sofisticato.
In generale, le infezioni ad alto rischio possono portare a gravi problemi di privacy, perdite finanziarie e furti di identità. Si noti che gli attacchi contro obiettivi ad alta sensibilità rappresentano minacce di maggiore importanza.
Qual è lo scopo del malware SugarGh0st?
Il malware viene utilizzato principalmente per generare entrate, ma questa non è l'unica ragione alla base di tali attacchi. I criminali informatici possono anche utilizzare software dannoso per divertirsi, portare avanti rancori personali, interrompere processi (ad esempio siti Web, servizi, organizzazioni, ecc.), impegnarsi nell'hacktivismo e persino lanciare attacchi motivati politicamente/geopoliticamente.
Ci sono alcune prove che suggeriscono che SugarGh0st sia utilizzato da aggressori di lingua cinese. Questo RAT è stato notato nelle campagne rivolte agli utenti coreani e agli individui associati al Ministero degli Affari Esteri dell'Uzbekistan. Questi attacchi, in particolare quest’ultimo, potrebbero essere in linea con gli interessi cinesi.
In che modo il malware SugarGh0st si è infiltrato nel mio computer?
Sulla base dei documenti esca visualizzati quando vengono aperti file dannosi progettati per attivare le infezioni SugarGh0st, è probabile che questo malware venga diffuso tramite campagne di spam via email. Si noti che sono possibili altre esche e tecniche di distribuzione.
Oltre alla posta indesiderata, il malware viene comunemente diffuso tramite download drive-by, truffe online, malvertising, fonti di download dubbie (ad esempio siti Web freeware e di terze parti, reti di condivisione P2P, ecc.), strumenti di attivazione illegale di programmi ("cracking") e aggiornamenti falsi. Alcuni programmi dannosi possono addirittura autoproliferarsi attraverso le reti locali e i dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dai malware?
Sì, Combo Cleaner è in grado di rilevare e rimuovere tutte le infezioni malware conosciute. È necessario sottolineare che, poiché il software dannoso più sofisticato di solito si nasconde nelle profondità dei sistemi, eseguire una scansione completa del sistema con Combo Cleaner è fondamentale.
Eccezionale!
▼ Mostra Discussione