Come rimuovere VoidStealer dai sistemi infetti

Che tipo di malware è VoidStealer?

VoidStealer è un tipo di malware che ruba dati sensibili dai browser. Utilizza una tecnica basata su un debugger per aggirare la protezione del browser (Application-Bound Encryption) monitorando la memoria mentre il browser è in esecuzione. Ciò gli consente di intercettare le chiavi di crittografia senza bisogno di autorizzazioni speciali né di iniettare codice. Per questo motivo, è più difficile da rilevare per gli strumenti di sicurezza.

Introduzione

La crittografia legata all'applicazione (ABE) è un meccanismo di sicurezza che crittografa i dati sensibili (come le password salvate) in modo che solo il browser possa accedervi. Questa funzione di sicurezza è stata aggiunta a Google Chrome nel 2024. VoidStealer è il primo malware-as-a-service (MaaS) di tipo infostealer conosciuto che sia stato osservato mentre utilizzava un metodo per aggirare l'ABE.

VoidStealer è disponibile in diverse versioni e questa tecnica di aggiramento è stata introdotta nella versione 2.0 del malware. Il programma di furto utilizza due metodi diversi per aggirare le protezioni del browser nel caso in cui uno dei due non funzioni. Il primo metodo è ben noto e consiste nell'iniezione nel processo del browser, ma può essere facilmente individuato dagli strumenti di sicurezza.

Il secondo metodo è più recente e più discreto, poiché si limita a leggere la memoria del browser e si collega come debugger. Ciò lo rende meno evidente e più difficile da individuare. In Google Chrome, le password salvate e altre informazioni sensibili vengono crittografate e archiviate in un database locale. Questi dati sono conservati in un file di database SQLite sul sistema, che in genere si trova nella cartella AppData.

In genere, le password sono protette in modo tale che solo il browser (e i processi autorizzati) possano leggerle. La crittografia legata all'applicazione (ABE) protegge una chiave segreta utilizzando i privilegi di sistema più elevati su Windows. Chrome stesso viene eseguito come utente normale, quindi non può accedere direttamente a questa chiave.

Per risolvere questo problema, Chrome utilizza uno speciale servizio in background che opera con privilegi più elevati per sbloccare la chiave in modo sicuro quando necessario. Quando Chrome ne fa richiesta, il servizio verifica la richiesta e restituisce la chiave decriptata. Chrome utilizza quindi questa chiave per crittografare e decrittografare dati sensibili come password e cookie.

I programmi di furto di informazioni potrebbero aggirare la protezione eseguendosi con privilegi completi, ma ciò funziona solo in alcuni casi. Possono anche inserirsi in Chrome per richiedere la chiave, ma in questo caso è più facile che gli strumenti di sicurezza lo rilevino. Chrome protegge la chiave conservandola in memoria solo per un breve periodo e crittografandola.

VoidStealer sfrutta quel breve istante controllando la memoria del browser tramite un debugger e intercettando la chiave senza bisogno di privilegi elevati o dell'iniezione di codice.

Come funziona questa tecnica

VoidStealer prende di mira browser come Google Chrome e Microsoft Edge. Avvia un processo nascosto del browser e si integra come debugger. Questo avviene perché, all’avvio, il browser carica e decrittografa dati protetti come i cookie. In quel momento, la chiave segreta è temporaneamente disponibile in memoria, rendendo quel momento l’occasione ideale per il malware per intercettarla.

VoidStealer imposta dei punti di interruzione e monitora il processo fino a quando non raggiunge quel preciso momento, quindi estrae la chiave direttamente dalla memoria. Con questa chiave, è in grado di decriptare e accedere a dati sensibili come password salvate e cookie. I criminali informatici possono sfruttare queste informazioni per vari scopi dannosi.

Possono utilizzarli per accedere ad account (ad esempio, sui social media o bancari), rubare dati personali o commettere frodi. Possono inoltre utilizzare gli account compromessi per diffondere malware e truffe. In alcuni casi, vendono i dati rubati ad altri sul dark web.

Conclusione

VoidStealer è un tipo di malware progettato per sottrarre informazioni sensibili dai browser. Utilizza tecniche avanzate per aggirare le misure di sicurezza e accedere ai dati memorizzati, come password e cookie. Ciò lo rende una grave minaccia, poiché è in grado di operare in modo invisibile ed eludere il rilevamento.

Altri esempi di programmi di furto sono BoryptGrab, MaskGramStealer e Xillen.

Come ha fatto VoidStealer a infiltrarsi nel mio computer?

I criminali informatici spesso sfruttano le falle di sicurezza presenti nei software obsoleti o diffondono malware tramite programmi piratati, strumenti di attivazione non ufficiali e generatori di chiavi. Altri metodi comuni includono le truffe relative all'assistenza tecnica, le e-mail o i messaggi ingannevoli che contengono link o allegati dannosi e gli annunci pubblicitari malevoli.

Il malware può anche essere diffuso tramite chiavette USB infette, siti web falsi o compromessi, reti di condivisione file peer-to-peer (P2P) e strumenti di download di terze parti. Gli hacker solitamente lo nascondono all'interno di file quali eseguibili, archivi compressi, script o documenti come PDF e file di Office, che possono infettare i sistemi una volta aperti o quando vengono eseguite ulteriori operazioni.

Come evitare l'installazione di malware?

Mantieni aggiornati il sistema operativo e tutti i programmi installati e scarica software e file dai siti web ufficiali o da app store affidabili. Evita di interagire con annunci sospetti, finestre pop-up o link sconosciuti, specialmente su siti web inaffidabili, e non autorizzare le notifiche provenienti da pagine discutibili.

Diffidate delle e-mail o dei messaggi inattesi provenienti da mittenti sconosciuti: non aprite allegati né cliccate sui link a meno che non siate certi che siano sicuri. Utilizzate strumenti di sicurezza affidabili per eseguire scansioni regolari e individuare potenziali minacce.

Se ritieni che il tuo computer sia già stato infettato, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware presente nel sistema.

VoidStealer pubblicizzato su un forum di hacker (fonte: gendigital.com):

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

• Che cos'è VoidStealer?
• FASE 1. Rimozione manuale del malware VoidStealer.
• FASE 2. Verifica che il tuo computer sia privo di virus.

Come rimuovere manualmente il malware?

La rimozione manuale dei malware è un'operazione complessa: in genere è preferibile lasciare che siano i programmi antivirus o anti-malware a occuparsene automaticamente. Per rimuovere questo malware, consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che stai cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio tramite Gestione attività, e hai individuato un programma che sembra sospetto, procedi come segue:

Scarica un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e i percorsi nel file system:

Riavvia il computer in modalità provvisoria:

Utenti di Windows XP e Windows 7: Avviate il computer in modalità provvisoria. Fate clic su Start, poi su Spegni, quindi su Riavvia e infine su OK. Durante l'avvio del computer, premete più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu delle opzioni avanzate di Windows, quindi selezionate Modalità provvisoria con rete dall'elenco.

Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":

Utenti di Windows 8: Avviare Windows 8 in modalità provvisoria con rete - Accedere alla schermata Start di Windows 8, digitare "Avanzate" e, nei risultati della ricerca, selezionare "Impostazioni". Fare clic su "Opzioni di avvio avanzate"; nella finestra "Impostazioni generali del PC" che si apre, selezionare "Avvio avanzato".

Fai clic sul pulsante "Riavvia ora". Il computer si riavvierà e visualizzerà il "Menu delle opzioni di avvio avanzate". Fai clic sul pulsante "Risoluzione dei problemi", quindi sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".

Fai clic sul pulsante "Riavvia". Il PC si riavvierà visualizzando la schermata delle Impostazioni di avvio. Premi F5 per avviare il sistema in Modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in "Modalità provvisoria con rete":

Utenti di Windows 10: cliccate sul logo di Windows e selezionate l'icona dell'alimentazione. Nel menu che si apre, cliccate su "Riavvia" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "Scegli un'opzione", cliccate su "Risoluzione dei problemi", quindi selezionate "Opzioni avanzate".

Nel menu delle opzioni avanzate, seleziona "Impostazioni di avvio" e fai clic sul pulsante "Riavvia". Nella finestra che si aprirà, premi il tasto "F5" sulla tastiera. In questo modo il sistema operativo verrà riavviato in modalità provvisoria con rete.

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Estrai l'archivio scaricato ed esegui il file Autoruns.exe.

Nell'applicazione Autoruns, fare clic su "Opzioni" nella parte superiore e deselezionare le opzioni "Nascondi percorsi vuoti" e "Nascondi voci di Windows". Al termine di questa procedura, fare clic sull'icona "Aggiorna".

Controlla l'elenco fornito dall'applicazione Autoruns e individua il file dannoso che desideri eliminare.

È necessario annotarne il percorso completo e il nome. Si noti che alcuni malware nascondono i nomi dei propri processi sotto quelli di processi legittimi di Windows. In questa fase, è molto importante evitare di eliminare i file di sistema. Una volta individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e selezionare "Elimina".

Dopo aver rimosso il malware tramite l'applicazione Autoruns (in questo modo si garantisce che il malware non venga eseguito automaticamente al prossimo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurarsi di abilitare la visualizzazione di file e cartelle nascosti prima di procedere. Se si individua il nome del file del malware, assicurarsi di eliminarlo.

Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti riuscire a rimuovere qualsiasi malware dal tuo computer. Tieni presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possiedi tali competenze, affida la rimozione del malware ai programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare in caso di infezioni da malware avanzato. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in un secondo momento. Per proteggere il tuo computer, installa gli ultimi aggiornamenti del sistema operativo e utilizza un software antivirus. Per assicurarti che il tuo computer sia privo di malware, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware VoidStealer: devo formattare il dispositivo di archiviazione per eliminarlo?

Il ripristino delle impostazioni di fabbrica o la cancellazione completa dei dati di un dispositivo è un metodo efficace per rimuovere il malware. Tuttavia, se non è stato eseguito un backup, questa operazione comporta la cancellazione di tutti i dati. Si consiglia di provare innanzitutto a rimuovere VoidStealer utilizzando uno strumento di sicurezza come Combo Cleaner.

Quali sono i problemi più gravi che il malware può causare?

Il malware può causare diversi problemi, come perdite economiche o furti di identità, oltre al furto di dati personali. Può inoltre assumere il controllo di un dispositivo e danneggiare o cancellare file importanti.

Qual è lo scopo di VoidStealer?

Lo scopo di VoidStealer è quello di sottrarre informazioni sensibili dal computer di un utente, in particolare dai browser web. È progettato per estrarre dati quali password salvate, cookie e credenziali di accesso, in modo che gli hacker possano accedere agli account o compiere altre azioni dannose.

Come ha fatto VoidStealer a infiltrarsi nel mio dispositivo?

I criminali informatici diffondono malware sfruttando software obsoleti e utilizzando programmi piratati, strumenti di attivazione contraffatti e generatori di chiavi. Ricorrono inoltre a e-mail di phishing, annunci pubblicitari dannosi e truffe relative all'assistenza tecnica. Inoltre, il malware può provenire da chiavette USB infette, siti web contraffatti, reti P2P e strumenti di download di terze parti, ed è spesso nascosto all'interno di file quali eseguibili, archivi, script o documenti.

Combo Cleaner mi proteggerà dal malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte dei malware conosciuti. Tuttavia, alcune minacce avanzate possono nascondersi in profondità nel sistema. Ecco perché è importante eseguire una scansione completa del sistema per assicurarsi che tutto venga individuato e rimosso.