Come rimuovere lo spyware Dante dai dispositivi infetti

Che tipo di malware è Dante?

Dante è un sofisticato spyware utilizzato per lo spionaggio mirato. Gli attacchi coinvolgono un loader persistente e una backdoor chiamata LeetAgent per l'accesso post-exploit. Dante viene distribuito tramite e-mail di phishing che sfruttano una vulnerabilità nel browser Chrome. Il suo scopo principale è quello di raccogliere dati da organizzazioni nei settori dei media, della ricerca, della pubblica amministrazione e della finanza.

Maggiori informazioni su Dante

Durante la distribuzione di Dante, il primo passo nella catena di attacchi è un piccolo script di convalida che viene eseguito nel browser della vittima per confermare che il visitatore sia un utente reale, quindi recupera ed esegue in modo sicuro la fase successiva dell'attacco.

La persistenza viene ottenuta utilizzando una tecnica che consente ai criminali informatici di sovrascrivere una voce del registro di Windows, in modo che il sistema carichi la loro DLL dannosa invece del componente originale. Tale DLL funge da caricatore, verificando in quale processo è in esecuzione, decrittografando il malware principale e avviandolo tramite shellcode.

Inoltre, l'attacco coinvolge LeetAgent, uno strumento in grado di eseguire comandi shell, avviare programmi, leggere e scrivere file, iniettare shellcode, modificare cartelle e gestire attività. Esegue anche un keylogger e un file stealer che cerca i tipi di documenti più comuni (.doc, .docx, .pdf, .ppt, .pptx, .rtf, .xls e .xlsx.).

Negli attacchi che coinvolgono Dante, LeetAgent funge da malware di primo livello, che avvia Dante. Dante è progettato per evitare il rilevamento e l'analisi. Utilizza VMProtect per nascondere il proprio codice e rendere difficile il debug. Controlla inoltre la presenza di debugger, macchine virtuali e strumenti di analisi ed esamina i registri eventi di Windows per evitare il rilevamento.

Inoltre, se Dante non riceve alcun comando per un determinato numero di giorni, si rimuove da solo e cancella tutte le tracce della sua attività. Vale la pena notare che non ci sono molte informazioni disponibili sui moduli di Dante, quindi le sue capacità di spionaggio complete e i dati che ruba esattamente sono ancora sconosciuti.

Conclusione

Dante è uno spyware distribuito attraverso un attacco in più fasi che coinvolge uno script di convalida, un caricatore persistente e LeetAgent come malware di prima fase. Durante gli attacchi osservati, il malware è riuscito a eludere il rilevamento, l'anti-debugging e i controlli ambientali. Sebbene alcune delle sue funzionalità siano note, la portata completa delle sue capacità di raccolta dati non è ancora chiara.

Come ha fatto Dante a infiltrarsi nel mio computer?

Nei casi noti, Dante è stato diffuso tramite e-mail di spear-phishing che sembravano inviti legittimi a un forum scientifico. Cliccando sul link, la vittima veniva reindirizzata a un sito web dannoso, che verificava l'utente ed eseguiva l'exploit per avviare l'infezione. Le e-mail erano state accuratamente elaborate per sembrare autentiche e tracciare chi cliccava sui link.

Altri metodi comuni di distribuzione del malware sono il software pirata, gli strumenti di cracking, i generatori di chiavi, le truffe del supporto tecnico, gli annunci pubblicitari dannosi e canali simili.

Come evitare l'installazione di malware?

Scarica sempre le app dai siti web ufficiali o dagli app store ed evita software pirata, crack o keygen. Fai attenzione alle e-mail: non aprire allegati o link irrilevanti e inattesi provenienti da mittenti sconosciuti. Evita di cliccare su annunci, link, pop-up o pulsanti su siti discutibili e non consentire mai ai siti di mostrare notifiche.

Aggiorna regolarmente il software installato e il sistema operativo ed esegui scansioni di sicurezza utilizzando uno strumento affidabile. Se ritieni che il tuo computer sia già stato infettato, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.

Email dannosa che distribuisce Dante (fonte: securelist.com):

Testo contenuto in questa e-mail (tradotto dal russo):

On behalf of the Organizing Committee of the "Primakov Readings" and the Primakov Institute of World Economy and International Relations of the Russian Academy of Sciences, we have the honor to invite you to take part in the international forum "Primakov Readings", which will be held on June 23-25 at the Moscow International Trade Center and IMEMO RAS.

You can download the official invitation, preliminary program and list of participants on the official website at the link Personal account of the forum guest . To participate in the forum, please fill out the form at the link: Forum participant form

Sincerely,
International forum
"Primakov Readings"

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

• Che cos'è Dante?
• FASE 1. Rimozione manuale del malware Dante.
• FASE 2. Verifica che il tuo computer sia pulito.

Come rimuovere manualmente il malware?

La rimozione manuale dei malware è un'operazione complessa: solitamente è preferibile affidare questo compito ai programmi antivirus o anti-malware, che lo eseguono automaticamente. Per rimuovere questo malware, consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che stai cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando il task manager, e hai individuato un programma che sembra sospetto, procedi con questi passaggi:

Scarica un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni del file system:

Riavvia il computer in modalità provvisoria:

Utenti Windows XP e Windows 7: avviare il computer in modalità provvisoria. Fare clic su Start, quindi su Spegni, Riavvia e OK. Durante il processo di avvio del computer, premere più volte il tasto F8 sulla tastiera fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.

Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":

Utenti Windows 8: avviare Windows 8 in modalità provvisoria con rete - andare alla schermata Start di Windows 8, digitare Avanzate, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.

Fai clic sul pulsante "Riavvia ora". Il computer si riavvierà nel "Menu delle opzioni di avvio avanzate". Fai clic sul pulsante "Risoluzione dei problemi", quindi fai clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".

Fai clic sul pulsante "Riavvia". Il PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare il sistema in modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in "Modalità provvisoria con rete":

Utenti Windows 10: clicca sul logo Windows e seleziona l'icona di alimentazione. Nel menu che si apre, clicca su "Riavvia" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "Scegli un'opzione" clicca su "Risoluzione dei problemi", quindi seleziona "Opzioni avanzate".

Nel menu delle opzioni avanzate seleziona "Impostazioni di avvio" e clicca sul pulsante "Riavvia". Nella finestra successiva dovrai cliccare sul tasto "F5" della tastiera. In questo modo il sistema operativo verrà riavviato in modalità provvisoria con rete.

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Estrai l'archivio scaricato ed esegui il file Autoruns.exe.

Nell'applicazione Autoruns, clicca su "Opzioni" in alto e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci Windows". Dopo questa procedura, clicca sull'icona "Aggiorna".

Controlla l'elenco fornito dall'applicazione Autoruns e individua il file malware che desideri eliminare.

È necessario annotarne il percorso completo e il nome. Si noti che alcuni malware nascondono i nomi dei processi sotto nomi di processi Windows legittimi. In questa fase, è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e selezionare "Elimina".

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo assicura che il malware non venga eseguito automaticamente al successivo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurarsi di abilitare i file e le cartelle nascosti prima di procedere. Se si trova il nome del file del malware, assicurarsi di rimuoverlo.

Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti riuscire a rimuovere qualsiasi malware dal tuo computer. Tieni presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possiedi tali competenze, affida la rimozione del malware a programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare con infezioni da malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in un secondo momento. Per mantenere il computer al sicuro, installa gli ultimi aggiornamenti del sistema operativo e utilizza un software antivirus. Per assicurarti che il tuo computer sia privo di infezioni da malware, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande frequenti (FAQ)

Il mio computer è stato infettato dallo spyware Dante, devo formattare il mio dispositivo di archiviazione per eliminarlo?

Non è necessario formattare il dispositivo. Malware come Dante possono spesso essere rimossi con antivirus affidabili o strumenti anti-malware come Combo Cleaner.

Quali sono i problemi più gravi che possono causare i malware?

Il malware consente ai criminali informatici di controllare da remoto i dispositivi infetti, rubare informazioni sensibili (ad esempio password o dati delle carte di credito), dirottare account, crittografare dati, rilasciare payload aggiuntivi e compiere altre azioni dannose.

Qual è lo scopo di Dante?

Dante è uno spyware, un tipo di malware progettato per monitorare e raccogliere dati in modo segreto da un sistema bersaglio.

Come ha fatto Dante a infiltrarsi nel mio computer?

È stato osservato che Dante veniva diffuso tramite e-mail di spear-phishing camuffate da inviti legittimi a forum, che indirizzavano le vittime a un sito dannoso che eseguiva l'exploit. Il malware può anche diffondersi tramite software pirata, crack, keygen, truffe di assistenza tecnica, annunci pubblicitari dannosi e metodi simili.

Combo Cleaner mi proteggerà dai malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte dei malware conosciuti. Poiché le minacce avanzate possono nascondersi in profondità nel sistema, è essenziale eseguire una scansione completa del sistema per eliminarle completamente.