Come eliminare dal sistema operativo il malware di tipo stealer MrAnon
Scitto da Tomas Meskauskas il
Che tipo di malware è MrAnon?
MrAnon è il nome di un malware che ruba informazioni scritto nel linguaggio di programmazione Python. Questo rubatore ha una varietà di capacità di estrazione dei dati e mira alle informazioni provenienti da browser, portafogli di criptovalute, messenger e altre applicazioni.
Al momento in cui scriviamo, gli sviluppatori di MrAnon lo stanno offrendo in vendita online; pertanto, esistono diverse varianti con funzionalità differenti in base al piano di pagamento. È opportuno ricordare che questo malware è stato osservato proliferare tramite campagne di spam via e-mail.
Panoramica del malware MrAnon
Dopo un'infiltrazione riuscita, MrAnon può visualizzare una finestra pop-up che afferma "File Not Supported", seguita da un'altra che afferma "Not Run: python.exe". Questi messaggi vengono utilizzati per indurre le vittime a pensare che la potenziale installazione del malware sui loro dispositivi sia fallita. In questo modo, si crea un falso senso di sicurezza, diminuendo le possibilità che gli utenti intraprendano ulteriori azioni per proteggere i loro sistemi.
Il malware MrAnon inizia le sue operazioni cercando e terminando i processi di interesse, come quelli associati alle applicazioni mirate come browser, messenger, cryptowallet, ecc.
Questo rubatore raccoglie i dati rilevanti del dispositivo. Uno dei metodi utilizzati consiste nel visitare furtivamente siti web legittimi per acquisire l'indirizzo IP (geolocalizzazione) della vittima, nonché il nome e il codice del suo Paese. MrAnon può arrivare sui sistemi pesantemente compresso e le sue piccole dimensioni possono aiutare a eludere il rilevamento.
Il programma dannoso è in grado di scaricare i file dai dispositivi infetti. Controlla le seguenti posizioni - Desktop, Documenti, Immagini e Download - per questi formati: 7z, BMP, CONF, CSV, DAT, DB, DOC, JPEG, JPG, KDBX, KEY, ODT, OVPN, PDF, PNG, RAR, RDP, RTF, SQL, TAR, TXT, WALLET, XLS, XLSX, XLM, ZIP, ecc.
Anche la cattura di schermate rientra tra le capacità del ladro. MrAnon può estrarre informazioni da oltre venti browser (elenco completo). I dati di interesse possono includere: cronologia di navigazione e dei motori di ricerca, cookie Internet, nomi utente/password, dati di identificazione personale, numeri di carte di credito, ecc.
Inoltre, prende di mira i portafogli di criptovalute sia per il desktop che per l'estensione del browser (elenco completo). Inoltre, il ladro cerca dati da messenger, software di autenticazione, gestori di password, client VPN (Virtual Private Network), software legati al gioco e FTP (File Transfer Protocol) (elenco completo).
Le informazioni ottenute da MrAnon vengono compresse in uno o più file e caricate su un sito di file-hosting; un messaggio che notifica la creazione e include il link per il download viene quindi inviato al Telegram degli aggressori.
È da notare che gli sviluppatori di malware spesso migliorano il loro software; pertanto, potenziali iterazioni future di MrAnon potrebbero avere funzionalità e caratteristiche aggiuntive/differenti.
In sintesi, la presenza di malware come MrAnon stealer sui dispositivi può portare a gravi problemi di privacy, perdite finanziarie e furti di identità.
| Nome | MrAnon malware |
| Tipo di minaccia | Trojan, stealer, virus che ruba le password, spyware. |
| Nomi di rilevamento | Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.70549116), ESET-NOD32 (PowerShell/TrojanDownloader.Agent.HRU), Kaspersky (Trojan.Win64.Agentb.kxby), Symantec (Infostealer.Limitail), Elenco completo dei rilevamenti (VirusTotal) |
| Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, per cui nessun sintomo particolare è chiaramente visibile su un computer infetto. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, software "craccato". |
| Danni | Password e informazioni bancarie rubate, furto d'identità, il computer della vittima aggiunto a una botnet. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware di tipo stealer
Vare, Ansiety, Epsilon, Laze, Serpent, e TrapStealer sono solo alcuni degli esempi di rubagalline di cui abbiamo scritto recentemente. Il malware che ruba informazioni può prendere di mira dettagli incredibilmente specifici o un'ampia gamma di dati. Questi programmi possono avere altre capacità, poiché il malware non è limitato dalla sua classificazione.
Va sottolineato che, indipendentemente dal modo in cui opera il software dannoso, la sua presenza nel sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il loro rilevamento.
Come si è infiltrato MrAnon nel mio computer?
Come accennato nell'introduzione, MrAnon è stato notato proliferare tramite e-mail di spam. Una delle campagne note riguardava missive relative a una presunta prenotazione alberghiera da parte dei destinatari. Le e-mail con oggetto "December Room Availability Query" (può variare) includevano allegati di documenti PDF dannosi intitolati "Booking.pdf".
All'apertura, lo sfondo del documento mostrava quelle che sembravano essere le scansioni di un documento d'identità e di una carta di credito/debito; in primo piano veniva visualizzato un pop-up. Il testo di questa finestra indicava che "Adobe Flash Player" era obsoleto e l'utente era invitato ad aggiornarlo.
L'interazione con questo pop-up ha innescato il processo di download/installazione del malware. Il PDF ha scaricato un eseguibile .NET, che ha recuperato ed eseguito diversi script PowerShell. La catena è culminata nell'installazione dello stealer MrAnon.
Va detto che altre esche o file potrebbero essere utilizzati per diffondere MrAnon. Oltre alle e-mail, il malware può essere distribuito tramite DM/PM, SMS e altri messaggi.
I file infetti possono essere allegati o collegati a messaggi di posta elettronica indesiderati. Questi file sono disponibili in vari formati, ad es, eseguibili (.exe, .run, ecc.), archivi (ZIP, RAR, ecc.), documenti (Microsoft Office, Microsoft OneNote, PDF, ecc.), JavaScript e così via.
Altri metodi comuni di proliferazione del malware includono: download drive-by (furtivi/ingannevoli), truffe online, malvertising, canali di download non affidabili (ad es, siti web di hosting di file freeware e gratuiti, reti di condivisione P2P, ecc.), strumenti di attivazione di programmi illegali ("cracks") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono auto-diffondersi attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, unità flash USB, dischi rigidi esterni, ecc.).
Come evitare l'installazione di malware?
Si consiglia di trattare con attenzione le e-mail e gli altri messaggi in arrivo. Gli allegati o i link presenti nelle e-mail dubbie/irrilevanti non devono essere aperti, poiché possono essere dannosi. Un'altra raccomandazione è quella di essere cauti durante la navigazione, poiché i contenuti online falsi e pericolosi di solito appaiono legittimi e innocui.
Inoltre, tutti i download devono essere eseguiti da fonti ufficiali e verificate. Si consiglia di attivare e aggiornare i programmi utilizzando funzioni/strumenti autentici, poiché gli strumenti di attivazione illegali ("cracking") e i programmi di aggiornamento di terze parti possono contenere malware.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi. Se ritenete che il vostro computer sia già infetto, vi consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Browser mirati:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, 7Star, Amigo, Brave, Cent Browser, Chrome Canary, Epic Privacy Browser, Iridium, Kometa, Opera GX, Orbitum, Pale Moon, SeaMonkey, Sputnik, Torch, Uran, Vivaldi, Waterfox, e Yandex.
Criptovalute mirate ed estensioni del browser legate alle criptovalute:
Aergo Connect, Armory, Atomic, Auro, Binance, BitKeep, BoltX, BlockWallet, Braavos, Bytecoin Wallet, CLV Wallet, Coin98, Coinbase, Cyano, Coinomi, Enkrypt, Eternl, EVER, Exodus, Fewcha Move, Finnie, GeroWallet, Goby, Guarda, HashPack, HAVAH, ICONex, iWallet, Jaxx Liberty, KardiaChain, Keeper, Keplr, KHC Wallet, Leap Terra, Liquality, MadWallet, Math, MetaMask, Meta Wallet, MEW CX, MultiversX DeFi Wallet, Nami, NeoLine, Nifty, OKX Wallet, OsmWallet, Pali, Petra Aptos, Phantom, Polygon, Polymesh, Pontem Aptos, Rabby, Ronin, SafePal, Sender Wallet, Solflare, Station, Sui, Tally Ho, Temple, TexBox, Tronium, Tron Link, Trust, Virgo, WAGMIswap.io, Wombat, XDEFI, e Yoroi.
Altre estensioni del browser mirate:
Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Bitwarden, KeePassHelper, KeePass Tusk, KeePassXC, Trezor Password Manager, Microsoft Autofill, NordVPN, e Proton VPN.
Software di messaggistica mirata:
Discord, Discord Canary, Element, Signal, e Telegram.
Software mirato vario:
FileZilla, FileZilla Server, NordVPN, OpenVPN Connect, ProtonVPN, e Steam.
Schermata dell'account Telegram utilizzato dagli sviluppatori di MrAnon stealer:
Schermata del ladro di MrAnon venduto online:
Schermata di un'e-mail di spam utilizzata per diffondere lo stealer MrAnon:
Testo presentato in questa lettera e-mail:
Subject: December Room Availability Query - Jame Mandez
Dear Esteemed Hotel ,
Greetings. I write on behalf of Lurstanco LLC to inquire about a reservation at your esteemed hotel from December 20th to 30th, 2023.
Enclosed, please find our preliminary booking details. We seek to reserve a Double Room with a spacious bed for two guests. Your confirmation of the room's availability for these dates would be highly appreciated.
Additionally, information regarding your rates and any special offerings available during our stay would be most welcome.
We eagerly anticipate the opportunity to experience the distinguished hospitality of your hotel.
Thank you for your attention to this request. We look forward to your prompt and favorable reply.
Yours sincerely,
Daniel Mendez
Lurstanco LLC
Schermata del PDF dannoso allegato a questa e-mail di spam ("Booking.pdf"):
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Che cos'è MrAnon?
- PASSO 1. Rimozione manuale del malware MrAnon.
- PASSO 2. Controllare se il computer è pulito.
Come rimuovere manualmente il malware?
La rimozione manuale del malware è un compito complicato: di solito è meglio permettere ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware si consiglia di utilizzare Combo Cleaner.
Se si desidera rimuovere manualmente un malware, il primo passo è identificare il nome del malware che si sta cercando di rimuovere. Ecco un esempio di programma sospetto in esecuzione sul computer di un utente:
Se si è controllato l'elenco dei programmi in esecuzione sul computer, ad esempio utilizzando task manager, e si è identificato un programma che sembra sospetto, si dovrebbe continuare con questi passaggi:
Scaricare un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni del file system:
Riavviare il computer in modalità provvisoria:
Utenti di Windows XP e Windows 7: Avviare il computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere più volte il tasto F8 sulla tastiera fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":
Utenti di Windows 8: Avviare Windows 8 in modalità provvisoria con rete - Accedere alla schermata Start di Windows 8, digitare Avanzate, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.
Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà nel "Menu delle opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio".
Fare clic sul pulsante "Riavvia". Il PC si riavvia nella schermata delle impostazioni di avvio. Premere F5 per avviare il sistema in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "Modalità provvisoria con rete":
Utenti Windows 10: Fare clic sul logo di Windows e selezionare l'icona Alimentazione. Nel menu aperto, fare clic su "Riavvia" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "Scegli un'opzione" fare clic su "Risoluzione dei problemi", quindi selezionare "Opzioni avanzate".
Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul tasto "F5" della tastiera. In questo modo il sistema operativo verrà riavviato in modalità sicura con collegamento in rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns, fare clic su "Opzioni" in alto e deselezionare le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovete annotare il percorso completo e il nome del processo. Si noti che alcuni malware nascondono i nomi dei processi sotto quelli legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina".
Dopo aver rimosso il malware attraverso l'applicazione Autoruns (in questo modo si assicura che il malware non venga eseguito automaticamente al successivo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurarsi di abilitare i file e le cartelle nascoste prima di procedere. Se trovate il nome del file del malware, assicuratevi di rimuoverlo.
Riavviare il computer in modalità normale. Seguendo questi passaggi si dovrebbe rimuovere il malware dal computer. Si noti che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non si dispone di tali competenze, lasciare la rimozione del malware ai programmi antivirus e anti-malware.
Questi passaggi potrebbero non funzionare con le infezioni da malware avanzate. Come sempre, è meglio prevenire l'infezione che cercare di rimuovere il malware in un secondo momento. Per mantenere il vostro computer al sicuro, installate gli ultimi aggiornamenti del sistema operativo e utilizzate un software antivirus. Per essere sicuri che il computer sia privo di infezioni da malware, si consiglia di eseguire una scansione con Combo Cleaner.
Domande frequenti (FAQ)
Il mio computer è stato infettato dal malware MrAnon, devo formattare il dispositivo di archiviazione per eliminarlo?
No, la rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware MrAnon può causare?
I pericoli associati a un'infezione dipendono dalle funzionalità del malware e dall'interferenza dei criminali informatici. MrAnon è uno stealer, ovvero un tipo di malware che estrae ed esfiltra dati (ad esempio, credenziali di accesso, cryptowallet, ecc.). In genere, infezioni di questo tipo possono portare a gravi problemi di privacy, perdite finanziarie e furto di identità.
Qual è lo scopo del malware MrAnon?
Il malware viene solitamente utilizzato per generare profitti. Tuttavia, i criminali informatici possono utilizzare il software maligno anche per divertirsi, portare avanti vendette personali, interrompere processi (ad esempio, siti web, servizi, aziende, ecc.) e persino lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware MrAnon nel mio computer?
È stato osservato che MrAnon è stato diffuso tramite allegati dannosi in e-mail di spam a tema prenotazione alberghiera. Tuttavia, altri metodi di distribuzione non sono improbabili.
Oltre alla posta indesiderata, il malware è ampiamente distribuito attraverso download drive-by, truffe online, canali di download dubbi (ad esempio, siti di hosting di file freeware e gratuiti, reti di condivisione P2P e così via), strumenti di attivazione del software illegali ("cracks"), falsi programmi di aggiornamento e malvertising. Alcuni programmi dannosi possono anche auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi protegge dal malware?
Sì, Combo Cleaner è in grado di rilevare ed eliminare quasi tutte le infezioni da malware conosciute. Si noti che l'esecuzione di una scansione completa del sistema è fondamentale, poiché i programmi dannosi di alto livello si nascondono tipicamente in profondità nei sistemi.
Eccezionale!
▼ Mostra Discussione