Come rimuovere 3Crypt RAT dal Mac

Che tipo di malware è 3Crypt RAT?

3Crypt RAT è un trojan di accesso remoto che prende di mira i sistemi macOS. Nel momento in cui viene eseguito, effettua una profilazione approfondita della macchina infetta - raccogliendo identificatori hardware, leggendo le impostazioni di sicurezza del dispositivo, mappando la rete ed enumerando ogni processo in esecuzione. Installa quindi molteplici meccanismi di persistenza per sopravvivere ai riavvii e utilizza una serie di tecniche di evasione per nascondere la propria attività sia all'utente che al software di sicurezza. Se 3Crypt RAT viene rilevato su un dispositivo, dovrebbe essere rimosso il prima possibile.

Panoramica di 3Crypt RAT

Al primo avvio, 3Crypt RAT inizia immediatamente a creare un profilo dettagliato del Mac infetto. Raccoglie informazioni sull'hardware tra cui il nome del modello del dispositivo, il numero di serie, l'UUID, il modello della CPU, la RAM installata e la GPU. Legge inoltre lo stato corrente delle funzionalità di sicurezza integrate in macOS: se System Integrity Protection (SIP) è attivo, se la crittografia del disco FileVault è abilitata e se il firewall di sistema è attivo. Questo fornisce all'aggressore un quadro immediato del livello di protezione del bersaglio prima di intraprendere qualsiasi ulteriore azione.

La ricognizione della rete avviene contemporaneamente. Il RAT identifica tutte le interfacce di rete disponibili, il gateway predefinito, gli indirizzi dei server DNS, la tabella ARP locale ed esegue una scansione delle porte aperte sulla macchina. Parallelamente, utilizza le interfacce di sistema di basso livello di macOS per ottenere un elenco completo di ogni processo attualmente in esecuzione - un lavoro preparatorio che consente all'operatore di iniettare potenzialmente codice o interferire in altro modo con applicazioni specifiche.

Meccanismi di persistenza

3Crypt RAT installa tre meccanismi di persistenza separati in modo da sopravvivere ai riavvii e rimanere attivo anche se uno dei metodi viene rimosso. Scrive e carica immediatamente un file property list LaunchAgent con l'identificatore com.test.3crypt, impostando il flag RunAtLoad in modo che macOS avvii automaticamente il RAT ogni volta che l'utente effettua l'accesso.

Vengono inoltre modificati i file di inizializzazione della shell. Il malware aggiunge un marcatore nascosto a .zshrc, .bashrc e .bash_profile, garantendo la sua riesecuzione ogni volta che l'utente apre una sessione del terminale. Un terzo livello di persistenza proviene da una voce crontab - un'attività pianificata che può attivare il RAT a intervalli regolari indipendentemente dagli altri meccanismi.

Evasione delle difese

3Crypt RAT utilizza diverse tecniche per evitare il rilevamento e complicare l'analisi forense. Ispeziona la stringa del marchio della CPU e analizza i modelli di allocazione della memoria per rilevare se è in esecuzione all'interno di una macchina virtuale o di una sandbox di sicurezza automatizzata. Se sospetta di essere analizzato, può modificare il proprio comportamento per evitare di attivare allarmi. Applica inoltre misure anti-debugging utilizzando la chiamata di sistema ptrace, che impedisce ai ricercatori di sicurezza di collegare strumenti di analisi al processo in esecuzione.

Per ostacolare le indagini forensi, il RAT manipola i timestamp dei file utilizzando la chiamata di sistema utimes, nascondendo il momento effettivo delle sue operazioni sui file su disco. Inoltre, inietta voci false nei registri di sistema, corrompendo la traccia forense su cui gli investigatori farebbero normalmente affidamento. Infine, utilizza osascript - l'ambiente di scripting integrato di macOS - per eseguire occultamenti consapevoli del contesto, permettendogli di mimetizzarsi con l'attività legittima del sistema o di sopprimere la propria visibilità a seconda di cos'altro è in esecuzione sulla macchina.

Conclusione

3Crypt RAT è uno strumento di accesso remoto capace e ben equipaggiato che offre a un aggressore un accesso persistente e furtivo al Mac infetto. Attraverso il fingerprinting dell'hardware, l'enumerazione dei processi, la ricognizione della rete e la persistenza a triplo livello, stabilisce un punto d'appoggio completo sul dispositivo compromesso. Le sue tecniche di evasione - tra cui il rilevamento di VM, l'anti-debugging, la manipolazione dei timestamp e l'avvelenamento dei log - lo rendono particolarmente difficile da rilevare e analizzare a posteriori.

Le vittime possono subire furto di dati, dirottamento di account, furto d'identità, perdite finanziarie e la possibilità che ulteriore malware venga distribuito attraverso la backdoor stabilita. Poiché 3Crypt RAT opera silenziosamente, gli utenti spesso non hanno alcuna indicazione che qualcosa non va. La rimozione dovrebbe essere eseguita non appena si sospetta un'infezione.

Ulteriori esempi di malware che prendono di mira macOS sono Overlord, GolangGhost e Bella.

Come ha fatto 3Crypt RAT a infiltrarsi nel mio computer?

I metodi di distribuzione specifici utilizzati per diffondere 3Crypt RAT sono attualmente sconosciuti. In generale, i trojan ad accesso remoto si affidano al phishing e all'ingegneria sociale per raggiungere le vittime. I programmi dannosi vengono tipicamente mascherati o associati a software o contenuti multimediali legittimi, e la semplice apertura di un file infetto può essere sufficiente per innescare un'infezione.

I canali di distribuzione comuni includono allegati email dannosi, trojan, download drive-by, fonti di download dubbie come siti di freeware e reti Peer-to-Peer, software e contenuti multimediali piratati, strumenti di attivazione illegali («crack»), e falsi aggiornamenti software. Alcuni programmi dannosi sono anche in grado di diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili come le unità flash USB.

Come evitare il malware?

Prestare attenzione a email, messaggi diretti e file provenienti da fonti inaspettate o sconosciute. Evitare di aprire allegati o fare clic su link in messaggi sospetti. Scaricare software solo da fonti ufficiali come il Mac App Store o il sito web dello sviluppatore, ed evitare applicazioni craccate, generatori di chiavi e programmi di installazione non ufficiali. Mantenere macOS e tutte le applicazioni installate aggiornati regolarmente.

Evitare di fare clic su annunci pop-up, link sospetti o notifiche del browser da siti web sconosciuti. Utilizzare un'applicazione di sicurezza affidabile ed eseguire scansioni regolari del sistema. Se il computer è già infetto, si consiglia di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente tutte le minacce.

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

• Cos'è 3Crypt RAT?
• Rimuovere file e cartelle correlati a 3Crypt RAT da OSX.

Rimozione delle applicazioni potenzialmente indesiderate:

Rimuovere le applicazioni potenzialmente indesiderate dalla cartella «Applicazioni»:

Fare clic sull'icona del Finder. Nella finestra del Finder, selezionare «Applicazioni». Nella cartella delle applicazioni, cercare «MPlayerX», «NicePlayer» o altre applicazioni sospette e trascinarle nel Cestino. Dopo aver rimosso le applicazioni potenzialmente indesiderate che causano pubblicità online, eseguire una scansione del Mac alla ricerca di eventuali componenti indesiderati rimanenti.

Domande Frequenti (FAQ)

Il mio computer è infettato dal malware 3Crypt RAT, devo formattare il mio dispositivo di archiviazione per liberarmene?

La formattazione rimuoverà completamente 3Crypt RAT ma cancellerà anche tutto ciò che è memorizzato sul dispositivo. Prima di compiere un passo così drastico, si consiglia generalmente di provare prima uno strumento di sicurezza affidabile come Combo Cleaner.

Quali sono i problemi più gravi che il malware 3Crypt RAT può causare?

3Crypt RAT fornisce agli aggressori un accesso remoto persistente e silenzioso al Mac infetto. Ciò può comportare furto di dati, dirottamento di account, furto d'identità, perdite finanziarie e la distribuzione di malware aggiuntivo. Poiché utilizza tecniche di evasione e opera senza sintomi visibili, può rimanere attivo su un sistema per molto tempo prima di essere scoperto.

Qual è lo scopo del malware 3Crypt RAT?

Lo scopo di 3Crypt RAT è fornire agli aggressori un accesso remoto continuativo ai dispositivi macOS infetti. Profilando l'hardware, le impostazioni di sicurezza, la rete e i processi in esecuzione, fornisce all'operatore una consapevolezza situazionale dettagliata e un punto d'appoggio persistente per ulteriori attacchi o furto di dati.

Come ha fatto il malware 3Crypt RAT a infiltrarsi nel mio computer?

I metodi di distribuzione specifici di 3Crypt RAT non sono ancora noti. Il malware viene generalmente diffuso tramite email di phishing, programmi di installazione trojanizzati, contenuti piratati, pubblicità dannose, falsi aggiornamenti software e crack di software. Alcune minacce si diffondono anche attraverso reti locali o dispositivi di archiviazione rimovibili.

Combo Cleaner mi proteggerà dal malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere un'ampia gamma di minacce. Tuttavia, alcuni malware avanzati possono nascondersi in profondità nel sistema, pertanto si consiglia vivamente di eseguire una scansione completa per garantire l'eliminazione totale.