PhantomPulse RAT

Che tipo di malware è PhantomPulse?

PhantomPulse è un trojan di amministrazione remota (RAT) sviluppato utilizzando l'intelligenza artificiale (AI). Prende di mira sia gli utenti Windows che macOS. È noto che gli attacchi iniziano spesso utilizzando uno strumento chiamato Obsidian per ottenere l'accesso ai dispositivi. Di solito, i criminali informatici utilizzano RAT come PhantomPulse per rubare informazioni, iniettare payload aggiuntivi e svolgere altre attività dannose.

Malware PhantomPulse

Maggiori informazioni su PhantomPulse

PhantomPulse è progettato per dare agli aggressori il controllo remoto su un dispositivo infetto. Una volta eseguito, può lanciare vari comandi sul sistema. Può iniettare shellcode, DLL o file eseguibili in altri processi, consentendogli di nascondersi ed eseguire codice dannoso all'interno di applicazioni legittime.

Può anche rilasciare file sul disco ed eseguirli. Questa capacità è comunemente utilizzata per infettare i dispositivi con altri malware, come information stealer o ransomware. Inoltre, il malware è in grado di acquisire screenshot e di avviare o interrompere un keylogger per registrare tutto ciò che l'utente digita, comprese password e messaggi sensibili.

Le funzionalità sopra menzionate lo rendono efficace per il furto di informazioni riservate. Inoltre, PhantomPulse include capacità di escalation dei privilegi, consentendogli di ottenere l'accesso a livello di sistema o di declassare i privilegi quando necessario. Dispone anche di capacità di pulizia e rimozione della persistenza, il che significa che può cancellarsi o rimuovere le proprie tracce se necessario.

Infine, può risolvere le API di sistema e persino terminare se stesso per evitare il rilevamento o l'analisi. Avere un dispositivo infettato da PhantomPulse può portare a gravi problemi, tra cui perdite finanziarie, dirottamento di account, danni alla reputazione, furto di identità, perdita di dati e altri problemi.

Riepilogo Della Minaccia:
Nome	PhantomPulse trojan ad accesso remoto
Tipo Di Minaccia	Trojan ad accesso remoto (RAT)
Nomi Di Rilevamento	Avast (MalwareX-gen [Misc]), Combo Cleaner (Trojan.GenericKD.79919557), ESET-NOD32 (Win64/Agent.JCE Trojan), Kaspersky (Trojan.Win64.Loader.ezg), Microsoft (Trojan:Win32/Qwexlafiba!rfn), Lista completa (VirusTotal)
Sintomi	I trojan ad amministrazione remota sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, pertanto nessun sintomo particolare è chiaramente visibile su una macchina infetta.
Possibili Metodi Di Distribuzione	Ingegneria sociale, LinkedIn o Telegram, plugin dannosi nell'app Obsidian.
Danni	Password e informazioni bancarie rubate, furto di identità, computer della vittima aggiunto a una botnet, infezioni aggiuntive, perdite monetarie.
Rimozione dei malware (Windows)	Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo Cleaner Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Conclusione

Nel complesso, questo RAT è uno strumento potente che fornisce agli aggressori il controllo su un sistema infetto. Può rubare dati, spiare le vittime ed eseguire comandi dannosi senza essere facilmente rilevato. Le sue funzionalità avanzate lo rendono una seria minaccia sia per gli individui che per le organizzazioni. Altri esempi di RAT sono STX, AtlasCross e CrySome.

Come si è infiltrato PhantomPulse nel mio computer?

PhantomPulse viene distribuito attraverso l'ingegneria sociale, in cui gli attori delle minacce contattano le vittime su piattaforme come LinkedIn o Telegram e si spacciano per reclutatori o aziende legittime. Inducono gli utenti a installare e utilizzare l'app per appunti Obsidian per un presunto lavoro o progetto.

Alle vittime viene quindi chiesto di aprire un vault condiviso di Obsidian controllato dai criminali informatici e che sembra un'area di lavoro normale. All'interno di questo vault sono nascoste impostazioni e plugin dannosi. L'infezione avviene quando l'utente viene persuaso ad abilitare o sincronizzare un plugin della community che contiene codice dannoso.

Una volta attivati, questi plugin eseguono automaticamente comandi nascosti sul sistema. Questi comandi scaricano ed eseguono componenti aggiuntivi, portando alla fase finale dell'infezione e fornendo agli attori delle minacce l'accesso remoto ai dispositivi. Come menzionato nell'introduzione, gli aggressori prendono di mira sia gli utenti macOS che Windows.

Come evitare l'installazione di malware?

Scaricate software solo da siti web ufficiali affidabili o app store verificati ed evitate di utilizzare programmi craccati, strumenti piratati o generatori di chiavi. Mantenete il vostro sistema operativo e tutte le applicazioni aggiornati. Fate attenzione alle email inattese, specialmente da mittenti sconosciuti, e non aprite link o allegati se sembrano sospetti.

Evitate di fare clic su pop-up, annunci pubblicitari o altri elementi sospetti quando visitate siti dubbi e non consentite a tali pagine di inviare notifiche. Se ritenete che il vostro computer sia già infetto, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

SCARICA Combo Cleaner

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

Cos'è PhantomPulse?
PASSO 1. Rimozione manuale del malware PhantomPulse.
PASSO 2. Verificare che il computer sia pulito.

Come rimuovere il malware manualmente?

La rimozione manuale del malware è un compito complicato - di solito è meglio consentire ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desiderate rimuovere il malware manualmente, il primo passo è identificare il nome del malware che state cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Processo malware in esecuzione nel Task Manager

Se avete controllato l'elenco dei programmi in esecuzione sul vostro computer, ad esempio utilizzando il task manager, e avete identificato un programma che sembra sospetto, dovreste procedere con questi passaggi:

rimozione manuale del malware passo 1 Scaricate un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni del file system:

Aspetto dell'applicazione Autoruns

rimozione manuale del malware passo 2 Riavviate il computer in Modalità Provvisoria:

Utenti Windows XP e Windows 7: Avviate il computer in Modalità Provvisoria. Fate clic su Start, fate clic su Arresta, fate clic su Riavvia, fate clic su OK. Durante il processo di avvio del computer, premete il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionate Modalità provvisoria con rete dall'elenco.

Eseguire Windows 7 o Windows XP in Modalità Provvisoria con Rete

Video che mostra come avviare Windows 7 in «Modalità provvisoria con rete»:

Utenti Windows 8: Avviate Windows 8 in Modalità Provvisoria con Rete - Andate alla Schermata Start di Windows 8, digitate Avanzate, nei risultati di ricerca selezionate Impostazioni. Fate clic su Opzioni di avvio avanzate, nella finestra «Impostazioni generali del PC» aperta, selezionate Avvio avanzato.

Fate clic sul pulsante «Riavvia ora». Il computer si riavvierà nel «Menu delle opzioni di avvio avanzate». Fate clic sul pulsante «Risoluzione dei problemi», quindi fate clic sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, fate clic su «Impostazioni di avvio».

Fate clic sul pulsante «Riavvia». Il PC si riavvierà nella schermata delle Impostazioni di avvio. Premete F5 per avviare in Modalità Provvisoria con Rete.

Eseguire Windows 8 in Modalità Provvisoria con Rete

Video che mostra come avviare Windows 8 in «Modalità provvisoria con rete»:

Utenti Windows 10: Fate clic sul logo di Windows e selezionate l'icona di Alimentazione. Nel menu aperto fate clic su «Riavvia» tenendo premuto il tasto «Maiusc» sulla tastiera. Nella finestra «scegli un'opzione» fate clic su «Risoluzione dei problemi», quindi selezionate «Opzioni avanzate».

Nel menu delle opzioni avanzate selezionate «Impostazioni di avvio» e fate clic sul pulsante «Riavvia». Nella finestra successiva dovrete fare clic sul tasto «F5» sulla tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.

Eseguire Windows 10 in Modalità Provvisoria con Rete

Video che mostra come avviare Windows 10 in «Modalità provvisoria con rete»:

rimozione manuale del malware passo 3 Estraete l'archivio scaricato ed eseguite il file Autoruns.exe.

Estrarre l'archivio Autoruns.zip ed eseguire l'applicazione Autoruns.exe

rimozione manuale del malware passo 4 Nell'applicazione Autoruns, fate clic su «Options» in alto e deselezionate le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, fate clic sull'icona «Refresh».

Aggiornare i risultati dell'applicazione Autoruns

rimozione manuale del malware passo 5 Controllate l'elenco fornito dall'applicazione Autoruns e individuate il file malware che desiderate eliminare.

Dovreste annotare il percorso completo e il nome. Tenete presente che alcuni malware nascondono i nomi dei processi sotto nomi di processi legittimi di Windows. In questa fase, è molto importante evitare di rimuovere file di sistema. Dopo aver individuato il programma sospetto che desiderate rimuovere, fate clic con il tasto destro del mouse sul suo nome e scegliete «Delete».

Eliminare il malware in Autoruns

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente al prossimo avvio del sistema), dovreste cercare il nome del malware sul vostro computer. Assicuratevi di abilitare file e cartelle nascosti prima di procedere. Se trovate il nome del file del malware, assicuratevi di rimuoverlo.

Cercare il malware ed eliminarlo

Riavviate il computer in modalità normale. Seguire questi passaggi dovrebbe rimuovere qualsiasi malware dal vostro computer. Tenete presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possedete queste competenze, lasciate la rimozione del malware ai programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che tentare di rimuovere il malware in seguito. Per mantenere il vostro computer al sicuro, installate gli ultimi aggiornamenti del sistema operativo e utilizzate un software antivirus. Per essere sicuri che il vostro computer sia privo di infezioni malware, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande frequenti (FAQ)

Il mio dispositivo è infettato dal malware PhantomPulse, devo formattare il mio dispositivo di archiviazione per liberarmene?

Sebbene questo approccio garantisca la completa rimozione di PhantomPulse, elimina anche tutti i dati sul dispositivo. Si consiglia generalmente di tentare prima una pulizia con uno strumento affidabile come Combo Cleaner prima di procedere con questa azione.

Quali sono i maggiori problemi che il malware può causare?

Il malware può comportarsi in modi diversi. Può essere in grado di rubare informazioni private, installare software aggiuntivo indesiderato o bloccare i file tramite crittografia. Queste azioni possono compromettere account o interi sistemi. Possono anche causare perdite finanziarie e la perdita permanente di file.

Qual è lo scopo di PhantomPulse?

PhantomPulse è progettato per dare agli aggressori il controllo remoto sui dispositivi infetti. Viene utilizzato per rubare dati, spiare gli utenti ed eseguire comandi dannosi sul sistema.

Come si è infiltrato PhantomPulse nel mio dispositivo?

PhantomPulse viene diffuso tramite LinkedIn o Telegram, dove gli aggressori si spacciano per reclutatori e inducono gli utenti a utilizzare l'app Obsidian. Le vittime aprono un vault condiviso controllato dagli aggressori e vengono persuase ad abilitare un plugin dannoso nascosto al suo interno. Una volta attivato, il plugin esegue comandi nascosti che scaricano malware aggiuntivo e completano l'infezione.

Combo Cleaner mi proteggerà dal malware?

Sì, Combo Cleaner è in grado di trovare e rimuovere la maggior parte delle minacce. Tuttavia, alcuni malware avanzati possono nascondersi nel sistema ed eludere il rilevamento. Ecco perché è importante eseguire una scansione completa del sistema.