Come rimuovere il trojan di accesso remoto PureHVNC

Che tipo di malware è PureHVNC?

PureHVNC è un trojan di accesso remoto (RAT). Questo tipo di malware consente l'accesso/controllo remoto dei dispositivi infetti. PureHVNC ha ampie capacità di furto di dati. Questo trojan si è diffuso tramite falsi siti web di IA generativa promossi su Facebook. Ci sono prove evidenti che suggeriscono che i criminali informatici dietro queste campagne siano di lingua vietnamita.

Panoramica del malware PureHVNC

PureHVNC è stato diffuso attraverso campagne di malvertising su Facebook incentrate sull'intelligenza artificiale (maggiori informazioni sono disponibili più avanti nell'articolo). Tuttavia, questo trojan potrebbe anche essere distribuito utilizzando metodi diversi. PureHVNC è un RAT (Remote Access Trojan), un programma dannoso progettato per consentire l'accesso e il controllo remoto dei computer.

Il malware si infiltra nei sistemi in una catena in due fasi. L'eseguibile della prima fase avvia un loader; ne sono stati individuati diversi, la maggior parte basati su .NET. Sono stati rilevati diversi casi in cui l'eseguibile implementava una compilazione .NET Ahead-Of-Time (AOT) a scopo anti-analisi e anti-rilevamento.

La prima fase è orientata all'evasione del rilevamento e alla prevenzione dell'analisi (ad esempio, ricerca di informazioni relative a macchine virtuali, ambienti sandbox, software di sicurezza, ecc.), alla garanzia della persistenza e all'ulteriore iniezione di payload. PureHVNC è il payload principale introdotto nella seconda fase.

Come accennato nell'introduzione, questo RAT ha molte funzionalità di furto di dati. È in grado di estrarre ed esfiltrare informazioni dai browser basati su Chromium e dalle estensioni dei browser (elenco completo di seguito). I dati presi di mira possono includere cronologie di navigazione e dei motori di ricerca, cookie Internet, credenziali di accesso, dettagli di identificazione personale, numeri di carte di credito/debito, ecc.

Il trojan può anche raccogliere dati associati a portafogli di criptovaluta, client di posta elettronica e messenger (elencati di seguito). PureHVNC utilizza plug-in per funzionalità aggiuntive. Uno dei plug-in noti utilizzati da questo trojan traccia le finestre in primo piano e ne acquisisce screenshot quando viene rilevata una parola chiave di interesse. Le parole prese di mira riguardano principalmente banche, operazioni bancarie e portafogli di criptovaluta (elenco delle parole chiave note).

In sintesi, la presenza di software dannoso come PureHVNC RAT sui dispositivi può portare a infezioni multiple del sistema, gravi problemi di privacy, perdite finanziarie e furti di identità.

Esempi di trojan di accesso remoto

Abbiamo studiato numerosi RAT; CurlBack, ResolverRAT, Neptune, Lilith e Triton sono solo alcuni dei nostri articoli più recenti. Questi trojan possono essere incredibilmente versatili e multifunzionali. Tuttavia, anche i malware con capacità limitate rappresentano un pericolo significativo. Inoltre, i programmi dannosi vengono spesso utilizzati in combinazione con altri.

Tuttavia, indipendentemente dal modo in cui opera il malware, la sua presenza su un sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.

Come ha fatto PureHVNC a infiltrarsi nel mio computer?

PureHVNC si è diffuso attraverso campagne di malvertising su Facebook utilizzando esche generative a tema AI. Sono stati scoperti oltre settanta post e diversi annunci a pagamento su tale piattaforma. Questi contenuti promuovevano siti web falsi che imitavano Kling AI, un servizio di AI generativa sviluppato da Kuaishou Technology.

Gli utenti potevano caricare immagini sui siti fraudolenti per produrre un'immagine o un video generato dall'intelligenza artificiale, ma invece di scaricare il risultato, scaricavano un file ZIP. Questo archivio conteneva un file eseguibile (.exe) il cui tipo di file era mascherato da un nome completo di caratteri Hangul Filler e da un'estensione falsa MP4 o JPG.

Non sono da escludere altri metodi di distribuzione. Le tecniche di phishing e social engineering sono standard nella proliferazione del malware. Il software dannoso è tipicamente camuffato o integrato in normali file di programma/multimediali. I file infettivi possono essere archivi (ZIP, RAR, ecc.), eseguibili (.exe, .run, ecc.), documenti (PDF, Microsoft Office, Microsoft OneNote, ecc.), JavaScript e così via.

Il malware si diffonde principalmente tramite trojan (loader/backdoor), download drive-by (furtivi/ingannevoli), allegati o link dannosi in e-mail/messaggi di spam, truffe online, malvertising, canali di download dubbi (ad esempio, siti web freeware e di terze parti, reti di condivisione P2P, ecc.), aggiornamenti falsi e strumenti di attivazione software illegali ("crack").

Inoltre, alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, unità flash USB, ecc.).

Come evitare l'installazione di malware?

Si consiglia di prestare attenzione durante la navigazione, poiché Internet è pieno di contenuti ingannevoli e dannosi. Le e-mail in arrivo, i messaggi privati/diretti, gli SMS e altri messaggi devono essere trattati con cautela. Gli allegati o i link presenti in e-mail sospette/irrilevanti non devono essere aperti, poiché possono essere infettivi.

Si consiglia di scaricare solo da fonti ufficiali e verificate. Un altro consiglio è quello di attivare e aggiornare il software utilizzando funzioni/strumenti originali, poiché quelli ottenuti da terze parti possono contenere malware.

È essenziale avere un antivirus affidabile installato e aggiornato. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e rimuovere le minacce rilevate. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.

Malvertising su Facebook utilizzato per promuovere PureHVNC (fonte immagine – Check Point):

Profilo Facebook falso di Kling AI utilizzato per promuovere PureHVNC:

Siti web generativi falsi che inducono le vittime a scaricare PureHVNC:

Esempio 1:

Esempio 2:

Browser presi di mira da PureHVNC:

7Star, 360Browser, Amigo, Atom, Brave, CentBrowser, Chedot, Chrome, ChromePlus, Chromodo, Citrio, CocCoc, Comodo, Coowon, Dragon, Edge, Elements, Epic, Iridium, K-Melon, Kometa, liebao, Maxthon3, Nichrome, Orbitum, Privacy, QIP, QQBrowser, Sleipnir5, Sputnik, Surf, Torch, Uran, e Vivaldi.

Estensioni browser mirate relative alle criptovalute:

Binance Chain Wallet, BitApp, BitClip, BitKeep, Braavos, Coin98, Coinbase, CONex, Cyano, EQUAL, Exodus, Finnie, Guarda, iWallet, Jaxx, Keeper, Keplr, Liberty, Liquality, Math, MetaMask, MOBOX, Nifty, Phantom, Rabet, Ronin, Solana, Swash, Terra Station, TezBox, TronLink, Trust, Waves Keeper, Wombat, XDCPay, XDEFI, Yoroi, e ZilPay.

Estensioni browser mirate per l'autenticazione e la gestione delle password:

Authenticator, Authy, EOS Authenticator, GAuth Authenticator, e Trezor Password Manager.

Mirati desktop cryptowallets:

• Atomic Wallet
• Bitcoin-Qt
• Dash-Qt
• Electrum
• Ethereum
• Exodus
• Jaxx
• Ledger Live
• Litecoin-Qt
• Zcash

Altri software mirati:

• Foxmail
• Telegram

Parole chiave cercate da PureHVNC:

ABANCA, atomic wallet, atomicwallet, Banca Agricola Popolare, Banca Monte dei Paschi di Siena, Banca Sella Group, Banco Aliado, Banco Ambrosiano, banco av villas, Banco Azteca, banco bac, Banco BBP, banco bbva, Banco BCT Bank International, Banco Bi-Bank, Banco Caja Social, Banco ctt, Banco da Itália, Banco Davivienda, Banco de Bogotá, Banco de Occidente, Banco di Napoli, Banco do Brasil, Banco do Nordeste, Banco Ficohsa, banco general, Banco General Panamá, banco GNB, Banco inter, Banco pan, Banco Santander, Bancolombia, banistmo, bank of america, Bankinter, bbva, BBVA Colômbia, binance, Brandesco, Bybit, Caixa geral de depósitos, caixabank, Caja de Ahorros, chase bank, Citibank Colômbia, Citigroup, coinbase, Colpatria, Credito agricola, dkb bank, dkb.de, Eurobic, exodus, facebook ads, FinecoBank, Gate.io, gemini.com, gemini.com/exchange, GNB Sudameris, Goldman Sachs, google ads, HSBC, Huntington, Intesa Sanpaolo, Itaú Corpbanca Colômbia, JP Morgan Chase, Lloyds Bank, metamask, Metro Bank, Moey, Montepio, Novobanco, Nubank, Openbank, paypal, Poloniex, Prosperity Bank, Revolut, Sanpaolo IMI, Santander, Santander UK, Starling Bank, Truist Bank, trustwallet, Unibanco, UniCredit, usbank, Virgin Money UK, wellsfargo, westernunion.

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

• Che cos'è PureHVNC?
• FASE 1. Rimozione manuale del malware PureHVNC.
• FASE 2. Verifica che il tuo computer sia pulito.

Come rimuovere manualmente il malware?

La rimozione manuale dei malware è un'operazione complessa: solitamente è preferibile affidare questo compito ai programmi antivirus o anti-malware, che lo eseguono automaticamente. Per rimuovere questo malware, consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che stai cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando il task manager, e hai individuato un programma che sembra sospetto, procedi con questi passaggi:

Scarica un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni del file system:

Riavvia il computer in modalità provvisoria:

Utenti Windows XP e Windows 7: avviare il computer in modalità provvisoria. Fare clic su Start, quindi su Spegni, Riavvia e OK. Durante il processo di avvio del computer, premere più volte il tasto F8 sulla tastiera fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.

Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":

Utenti Windows 8: avviare Windows 8 in modalità provvisoria con rete - andare alla schermata Start di Windows 8, digitare Avanzate, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.

Fai clic sul pulsante "Riavvia ora". Il computer si riavvierà nel "Menu delle opzioni di avvio avanzate". Fai clic sul pulsante "Risoluzione dei problemi", quindi fai clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".

Fai clic sul pulsante "Riavvia". Il PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare il sistema in modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in "Modalità provvisoria con rete":

Utenti Windows 10: clicca sul logo Windows e seleziona l'icona Alimentazione. Nel menu che si apre, clicca su "Riavvia" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "Scegli un'opzione" clicca su "Risoluzione dei problemi", quindi seleziona "Opzioni avanzate".

Nel menu delle opzioni avanzate seleziona "Impostazioni di avvio" e clicca sul pulsante "Riavvia". Nella finestra successiva dovrai cliccare sul tasto "F5" della tastiera. In questo modo il sistema operativo verrà riavviato in modalità provvisoria con rete.

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Estrai l'archivio scaricato ed esegui il file Autoruns.exe.

Nell'applicazione Autoruns, clicca su "Opzioni" in alto e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci Windows". Dopo questa procedura, clicca sull'icona "Aggiorna".

Controlla l'elenco fornito dall'applicazione Autoruns e individua il file malware che desideri eliminare.

È necessario annotarne il percorso completo e il nome. Si noti che alcuni malware nascondono i nomi dei processi sotto nomi di processi Windows legittimi. In questa fase, è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e selezionare "Elimina".

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo assicura che il malware non venga eseguito automaticamente al successivo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurarsi di abilitare i file e le cartelle nascosti prima di procedere. Se si trova il nome del file del malware, assicurarsi di rimuoverlo.

Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti riuscire a rimuovere qualsiasi malware dal tuo computer. Tieni presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possiedi tali competenze, affida la rimozione del malware a programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare con infezioni da malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in un secondo momento. Per mantenere il computer al sicuro, installa gli ultimi aggiornamenti del sistema operativo e utilizza un software antivirus. Per assicurarti che il tuo computer sia privo di infezioni da malware, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande frequenti (FAQ)

Il mio computer è stato infettato dal malware PureHVNC, devo formattare il mio dispositivo di archiviazione per eliminarlo?

La rimozione del malware raramente richiede la formattazione.

Quali sono i problemi più gravi che il malware PureHVNC può causare?

Le minacce poste da un'infezione dipendono dalle capacità del malware e dal modus operandi dei criminali informatici. PureHVNC consente il controllo remoto dei dispositivi e dispone di ampie funzionalità di furto di dati. In generale, malware di questo tipo può causare infezioni multiple del sistema, gravi problemi di privacy, perdite finanziarie e furti di identità.

Qual è lo scopo del malware PureHVNC?

Il malware viene utilizzato principalmente per generare entrate. Tuttavia, i criminali informatici possono anche utilizzare software dannosi per divertirsi, vendicarsi, interrompere processi (ad esempio siti, servizi, aziende, ecc.), hacktivismo e lanciare attacchi motivati da ragioni politiche/geopolitiche.

Come ha fatto il malware PureHVNC a infiltrarsi nel mio computer?

PureHVNC è stato diffuso attraverso contenuti falsi generati dall'intelligenza artificiale distribuiti da siti falsi promossi tramite Facebook. Sono possibili anche altre tecniche di distribuzione. Il malware si diffonde prevalentemente attraverso trojan, download drive-by, truffe online, malvertising, posta spam, canali di download sospetti (ad esempio, siti web freeware e di terze parti, reti di condivisione P2P, ecc.), strumenti di attivazione software illegali (“crack”) e aggiornamenti falsi.

Combo Cleaner mi proteggerà dal malware?

Combo Cleaner è in grado di rilevare e rimuovere praticamente tutte le infezioni da malware conosciute. Ricorda che è essenziale eseguire una scansione completa del sistema, poiché i software dannosi sofisticati di solito si nascondono in profondità nei sistemi.