Come rimuovere il malware GachiLoader dal sistema operativo

Che tipo di malware è GachiLoader?

GachiLoader è un programma dannoso scritto in Node.js. Questo malware è classificato come loader: è progettato per scaricare/installare ulteriori programmi dannosi sui sistemi compromessi. GachiLoader è stato distribuito attraverso una campagna che sfruttava account YouTube compromessi. In questa campagna, il payload finale era lo stealer Rhadamanthys.

Panoramica sul malware GachiLoader

GachiLoader è un loader, un tipo di malware che provoca infezioni a catena (ovvero scarica/installa ulteriori software o componenti dannosi).

Questo programma è altamente offuscato. GachiLoader utilizza diversi meccanismi anti-analisi e anti-rilevamento, come l'esame dei dettagli hardware (dimensione della RAM, numero di core della CPU), l'ispezione dei processi in esecuzione per individuare quelli associati a macchine virtuali e strumenti di analisi, il controllo dei nomi utente e dei nomi host rispetto a un elenco di esclusione hardcoded e la disattivazione di Microsoft Defender Antivirus.

Il loader raccoglie informazioni relative al computer infetto, tra cui la versione del sistema operativo e il software antivirus installato. GachiLoader verifica anche se è in esecuzione con privilegi di amministratore. In caso contrario, il malware esegue un comando PowerShell che presenta alla vittima una richiesta di eseguire il software con privilegi di amministratore.

In una delle campagne GachiLoader note, l'obiettivo era quello di infettare i dispositivi con lo stealer Rhadamanthys. Tuttavia, il modo in cui questo payload finale veniva distribuito era diverso. In alcuni casi, GachiLoader ha ottenuto lo stealer da un URL remoto. In altri, si è affidato a Kidkadi, un loader di seconda fase che utilizza una nuova tecnica di iniezione PE (Portable Executable), che ha introdotto Rhadamanthys nei sistemi.

Ricordate che GachiLoader potrebbe essere utilizzato anche per diffondere altri programmi dannosi. In teoria, un loader potrebbe causare praticamente qualsiasi tipo di infezione: trojan, ransomware, miner di criptovalute e altri malware. In pratica, i loader operano solitamente entro determinati limiti o specifiche.

Va sottolineato che gli sviluppatori di malware spesso migliorano i propri software e le proprie metodologie. Pertanto, potenziali versioni future di GachiLoader potrebbero avere funzionalità aggiuntive o diverse.

In sintesi, la presenza di programmi come GachiLoader sui dispositivi può causare infezioni multiple del sistema, gravi problemi di privacy, perdite finanziarie e furti di identità.

Esempi di malware di tipo loader

Abbiamo scritto di numerosi programmi dannosi; CastleLoader, Olymp e BaoLoader sono solo alcuni dei nostri articoli più recenti sui loader. Questo malware può causare vari tipi di infezioni, che vanno dai programmi di furto ai ransomware.

È importante sottolineare che, indipendentemente dal modo in cui opera il malware, la sua presenza su un sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il loro rilevamento.

Come ha fatto GachiLoader a infiltrarsi nel mio computer?

GachiLoader è stato diffuso attraverso una campagna su larga scala che ha utilizzato account YouTube hackerati. Questa campagna ha coinvolto 39 account compromessi e oltre 100 video, che hanno totalizzato oltre 200 mila visualizzazioni. I video erano incentrati su software "crackati", cheat/hack per videogiochi e simili.

Questo contenuto ingannevole induceva gli utenti a scaricare il malware da siti esterni di hosting di file. Le descrizioni dei video fornivano ulteriori istruzioni, come una password per gli archivi protetti da password contenenti GachiLoader o i passaggi per disabilitare Microsoft Defender Antivirus. Molti dei video noti sono stati segnalati e rimossi.

GachiLoader potrebbe diffondersi utilizzando altre tecniche. Il phishing e le tattiche di ingegneria sociale sono tecniche standard nella proliferazione dei malware. Di solito, i programmi dannosi sono camuffati o integrati in normali file software/multimediali. Possono essere archivi (ZIP, RAR, ecc.), file eseguibili (EXE, RUN, ecc.), documenti (PDF, Microsoft Office, Microsoft OneNote, ecc.), JavaScript e così via.

I metodi di distribuzione del malware più diffusi includono: programmi/supporti pirata, strumenti di attivazione software illegali ("crack"), download drive-by (furtivi/ingannevoli), fonti di download inaffidabili (ad esempio, siti web freeware e di terze parti, reti di condivisione peer-to-peer, ecc.), allegati o link dannosi contenuti in spam (ad esempio, e-mail, messaggi diretti/privati, post sui social media, ecc.), truffe online, malvertising e aggiornamenti falsi.

Inoltre, alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, unità flash USB, ecc.).

Come evitare l'installazione di malware?

La cautela è fondamentale per garantire la sicurezza del dispositivo e dell'utente. Pertanto, scaricare solo da canali ufficiali e verificati. Attivare e aggiornare i programmi utilizzando funzioni/strumenti forniti da sviluppatori autentici, poiché quelli ottenuti da terze parti possono contenere malware.

Inoltre, prestate attenzione durante la navigazione, poiché Internet è pieno di contenuti ingannevoli e pericolosi. Siate cauti con le e-mail e gli altri messaggi in arrivo; non aprite allegati o link presenti in messaggi dubbi/irrilevanti, poiché potrebbero essere dannosi.

È fondamentale installare un antivirus affidabile e mantenerlo aggiornato. È necessario utilizzare un software di sicurezza per eseguire scansioni regolari del sistema e rimuovere le minacce e i problemi rilevati. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.

Screenshot di video YouTube ingannevoli utilizzati per promuovere GachiLoader (fonte immagine – Check Point Research):

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

• Che cos'è GachiLoader?
• FASE 1. Rimozione manuale del malware GachiLoader.
• FASE 2. Verifica che il tuo computer sia pulito.

Come rimuovere manualmente il malware?

La rimozione manuale dei malware è un'operazione complessa: solitamente è preferibile affidare questo compito ai programmi antivirus o anti-malware, che lo eseguono automaticamente. Per rimuovere questo malware, consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che stai cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando il task manager, e hai individuato un programma che sembra sospetto, dovresti procedere con questi passaggi:

Scarica un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni del file system:

Riavvia il computer in modalità provvisoria:

Utenti Windows XP e Windows 7: avviare il computer in modalità provvisoria. Fare clic su Start, quindi su Spegni, Riavvia e OK. Durante il processo di avvio del computer, premere più volte il tasto F8 sulla tastiera fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.

Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":

Utenti Windows 8: avviare Windows 8 in modalità provvisoria con rete - andare alla schermata Start di Windows 8, digitare Avanzate, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.

Fai clic sul pulsante "Riavvia ora". Il computer si riavvierà nel "Menu delle opzioni di avvio avanzate". Fai clic sul pulsante "Risoluzione dei problemi", quindi fai clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".

Fai clic sul pulsante "Riavvia". Il PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare il sistema in modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in "Modalità provvisoria con rete":

Utenti Windows 10: clicca sul logo Windows e seleziona l'icona Alimentazione. Nel menu che si apre, clicca su "Riavvia" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "Scegli un'opzione" clicca su "Risoluzione dei problemi", quindi seleziona "Opzioni avanzate".

Nel menu delle opzioni avanzate seleziona "Impostazioni di avvio" e clicca sul pulsante "Riavvia". Nella finestra successiva dovrai cliccare sul tasto "F5" della tastiera. In questo modo il sistema operativo verrà riavviato in modalità provvisoria con rete.

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Estrai l'archivio scaricato ed esegui il file Autoruns.exe.

Nell'applicazione Autoruns, clicca su "Opzioni" in alto e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci Windows". Dopo questa procedura, clicca sull'icona "Aggiorna".

Controlla l'elenco fornito dall'applicazione Autoruns e individua il file malware che desideri eliminare.

È necessario annotarne il percorso completo e il nome. Si noti che alcuni malware nascondono i nomi dei processi sotto nomi di processi Windows legittimi. In questa fase, è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e selezionare "Elimina".

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo assicura che il malware non venga eseguito automaticamente al successivo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurarsi di abilitare i file e le cartelle nascosti prima di procedere. Se si trova il nome del file del malware, assicurarsi di rimuoverlo.

Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti riuscire a rimuovere qualsiasi malware dal tuo computer. Tieni presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possiedi tali competenze, affida la rimozione del malware a programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare con infezioni da malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in un secondo momento. Per mantenere il computer al sicuro, installa gli ultimi aggiornamenti del sistema operativo e utilizza un software antivirus. Per assicurarti che il tuo computer sia privo di infezioni da malware, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande frequenti (FAQ)

Il mio computer è stato infettato dal malware GachiLoader, devo formattare il mio dispositivo di archiviazione per eliminarlo?

La rimozione dei malware raramente richiede la formattazione.

Quali sono i problemi più gravi che può causare il malware GachiLoader?

Le minacce legate a un'infezione dipendono dalle capacità del malware e dal modus operandi dei criminali informatici. GachiLoader è progettato per causare infezioni a catena ed è stato utilizzato per infiltrare dispositivi con programmi di furto dati. Pertanto, la sua presenza può causare infezioni multiple del sistema che possono portare a gravi problemi di privacy, perdite finanziarie e furti di identità.

Qual è lo scopo del malware GachiLoader?

Il guadagno economico è la ragione principale alla base degli attacchi malware. Altre motivazioni diffuse includono: attacchi perpetrati per divertimento o vendetta personale, interruzione di processi (ad esempio siti web, servizi, aziende, organizzazioni, ecc.), hacktivismo e motivazioni politiche/geopolitiche.

Come ha fatto il malware GachiLoader a infiltrarsi nel mio computer?

GachiLoader si è diffuso attraverso una campagna che ha utilizzato account YouTube compromessi. Sono possibili anche altri metodi di distribuzione. In genere, il malware si diffonde tramite trojan, download drive-by, e-mail/messaggi di spam, malvertising, truffe online, fonti di download dubbie (ad esempio, siti freeware e di terze parti, reti di condivisione P2P, ecc.), software/media piratati, strumenti di attivazione illegali ("crack") e aggiornamenti falsi. Alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili.

Combo Cleaner mi proteggerà dai malware?

Combo Cleaner è progettato per eseguire la scansione dei computer e rimuovere tutti i tipi di minacce. È in grado di rilevare ed eliminare la maggior parte delle infezioni da malware conosciute. Ricordate che è essenziale eseguire una scansione completa del sistema, poiché i programmi dannosi più sofisticati tendono a nascondersi in profondità all'interno dei sistemi.