Come rimuovere MODBEACON RAT dal sistema operativo
TrojanConosciuto anche come: MODBEACON remote access trojan
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è MODBEACON RAT?
MODBEACON è un Remote Access Trojan (RAT) che consente a un operatore remoto di accedere segretamente a un computer Windows infetto, eseguire comandi e caricare plugin aggiuntivi rimanendo nascosto in memoria.
Secondo la ricerca pubblicata dal Qianxin Threat Intelligence Center, MODBEACON viene utilizzato in una campagna che i ricercatori chiamano «Operation Phnom Penh», gestita da un threat actor ibrido tracciato come Silver Fox, chiamato anche «Ghost Distributor».
Questo gruppo combina la contraffazione di software su larga scala con operazioni più mirate, incluse campagne contro il settore del gioco d'azzardo online della Cambogia che utilizzano esche in lingua khmer.
![]()
Maggiori informazioni su MODBEACON
MODBEACON è scritto in Rust e viene eseguito interamente in memoria su sistemi Windows a 64 bit, il che rende più difficile per gli strumenti antivirus rilevarlo su disco. Una volta attivo, comunica con il proprio server di Command and Control tramite gRPC trasportato su HTTP/2, e l'intero canale è protetto da crittografia TLS, in modo simile al normale traffico web sicuro.
Prima di ricevere ordini, MODBEACON esegue il fingerprinting dell'host, costruendo un profilo della macchina su cui è finito, e si autentica al server C2 con un lungo token dell'agente. Questo permette all'operatore di confermare esattamente con quale vittima sta comunicando e di inviare istruzioni destinate a quel dispositivo specifico.
Design basato su plugin e comandi remoti
MODBEACON non include tutte le funzionalità fin dall'inizio. Utilizza invece un'architettura basata su plugin, e i suoi operatori possono inserire moduli nativi aggiuntivi in memoria, caricarli e scaricarli una volta terminato.
Questo mantiene il trojan principale di piccole dimensioni consentendo comunque a un aggressore di aggiungere nuove funzioni su richiesta, come ulteriore ricognizione, accesso ai file o payload aggiuntivi. Il malware invia anche regolari report di heartbeat e di stato, comunicando al server C2 che la macchina infetta è online e pronta per nuovi comandi.
Persistenza ed evasione delle difese
Per sopravvivere a un riavvio, MODBEACON configura una sottoscrizione a eventi WMI che crea un oggetto timer nascosto, insieme ad attività pianificate e a un servizio Windows, in modo che almeno un meccanismo riavvii il malware se un altro viene rimosso.
Crea inoltre un mutex globale in modo che venga eseguita una sola copia di sé stesso alla volta. Sul lato rete, MODBEACON camuffa il proprio traffico C2 utilizzando un livello di trasporto modellato sugli strumenti proxy anti-censura, facendo apparire il traffico HTTP/2 e gRPC dannoso simile al traffico crittografato legittimo e aiutandolo a eludere il rilevamento basato sulla rete.
| Nome | MODBEACON remote access trojan |
| Tipo di Minaccia | Remote Access Trojan (RAT) |
| Nomi di Rilevamento | Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Elenco Completo (VirusTotal) |
| Sintomi | I Remote Access Trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, quindi su una macchina infetta non sono chiaramente visibili sintomi particolari. |
| Metodi di Distribuzione | Siti web falsi, programmi di installazione software dannosi. |
| Danno | Password e informazioni bancarie rubate, furto di identità, computer della vittima aggiunto a una botnet, infezioni aggiuntive, perdita di denaro, dirottamento di account. |
| Domini Contraffatti Correlati | sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Conclusione
MODBEACON fornisce ai suoi operatori un accesso continuo e nascosto a un computer infetto, la capacità di inserire nuovi plugin a piacimento e un canale di rete costruito per eludere il monitoraggio della sicurezza. I computer infettati da questo RAT sono a rischio di ulteriori payload, furto di dati e sorveglianza occulta a lungo termine, quindi dovrebbe essere rimosso non appena viene rilevato.
Altri esempi di RAT sono RemotePE, Navi e Banana.
Come si è infiltrato MODBEACON RAT nel mio computer?
Secondo la ricerca del Qianxin Threat Intelligence Center, MODBEACON viene diffuso dal gruppo Silver Fox, chiamato anche «Ghost Distributor», tramite campagne di SEO-poisoning che collocano pagine di download contraffatte per software popolari sul mercato cinese in cima ai risultati di ricerca, in modo che le vittime alla ricerca di un programma legittimo finiscano invece su un sito falso.
Le pagine contraffatte osservate impersonano una vasta gamma di strumenti di uso quotidiano, tra cui il metodo di input Sogou, app VPN vendute con nomi come «闪连VPN» e «快喵VPN», l'app di messaggistica Letstalk, l'emulatore Android MuMu, l'utilità di gestione iOS 爱思助手 (i4Tools) e persino lo strumento di sandboxing Sandboxie etichettato erroneamente come programma di traduzione. Ogni programma di installazione distribuisce MODBEACON al posto del, o insieme al, software pubblicizzato.
Lo stesso autore ha condotto separatamente campagne contro il settore del gioco d'azzardo online della Cambogia utilizzando esche di phishing in lingua khmer, dimostrando che il gruppo adatta il proprio approccio ai diversi gruppi di vittime. Più in generale, minacce come MODBEACON raggiungono le vittime anche tramite allegati email infetti, annunci dannosi e altri canali di download non affidabili.
Come evitare l'installazione di malware?
Scaricare sempre il software direttamente dal sito web ufficiale del fornitore anziché fidarsi dei risultati dei motori di ricerca, poiché le pagine con SEO-poisoning possono posizionarsi sopra la vera pagina di download e apparire quasi identiche ad essa. Prestare attenzione agli allegati e ai link email inaspettati e ricontrollare il nome di dominio di un sito prima di scaricare qualsiasi cosa.
Mantenere aggiornati il sistema operativo e le applicazioni e affidarsi a uno strumento di sicurezza affidabile anziché presumere che un programma sia sicuro solo perché è apparso vicino alla cima di una ricerca. Se ritiene che il suo computer sia già infetto, consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.
Siti web falsi che distribuiscono programmi di installazione dannosi contenenti MODBEACON RAT:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
SCARICA Combo CleanerScaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Menu rapido:
- Cos'è MODBEACON RAT?
- PASSO 1. Rimozione manuale del malware MODBEACON RAT.
- PASSO 2. Verificare se il computer è pulito.
Come rimuovere il malware manualmente?
La rimozione manuale del malware è un'operazione complicata - di solito è meglio consentire ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware consigliamo di utilizzare Combo Cleaner Antivirus per Windows.
Se desidera rimuovere il malware manualmente, il primo passo è identificare il nome del malware che sta cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Se ha controllato l'elenco dei programmi in esecuzione sul suo computer, ad esempio utilizzando il task manager, e ha identificato un programma che sembra sospetto, dovrebbe procedere con questi passaggi:
Scaricare un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni del file system:

Riavviare il computer in Modalità Provvisoria:
Utenti Windows XP e Windows 7: Avviare il computer in Modalità Provvisoria. Fare clic su Start, fare clic su Arresta il sistema, fare clic su Riavvia il sistema, fare clic su OK. Durante il processo di avvio del computer, premere ripetutamente il tasto F8 sulla tastiera finché non compare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.

Video che mostra come avviare Windows 7 in «Modalità provvisoria con rete»:
Utenti Windows 8: Avviare Windows 8 in Modalità Provvisoria con rete - Andare alla schermata Start di Windows 8, digitare Avanzate, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra «Impostazioni generali del PC» aperta, selezionare Avvio avanzato.
Fare clic sul pulsante «Riavvia ora». Il computer si riavvierà ora nel «menu Opzioni di avvio avanzate». Fare clic sul pulsante «Risoluzione dei problemi», quindi fare clic sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, fare clic su «Impostazioni di avvio».
Fare clic sul pulsante «Riavvia». Il PC si riavvierà nella schermata Impostazioni di avvio. Premere F5 per avviare in Modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in «Modalità provvisoria con rete»:
Utenti Windows 10: Fare clic sul logo di Windows e selezionare l'icona di accensione. Nel menu aperto fare clic su «Riavvia» tenendo premuto il tasto «Shift» sulla tastiera. Nella finestra «scegli un'opzione» fare clic su «Risoluzione dei problemi», quindi selezionare «Opzioni avanzate».
Nel menu delle opzioni avanzate selezionare «Impostazioni di avvio» e fare clic sul pulsante «Riavvia». Nella finestra successiva dovrebbe premere il pulsante «F5» sulla tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.

Video che mostra come avviare Windows 10 in «Modalità provvisoria con rete»:
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.

Nell'applicazione Autoruns, fare clic su «Options» in alto e deselezionare le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, fare clic sull'icona «Refresh».

Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file del malware che si desidera eliminare.
Dovrebbe annotarne il percorso completo e il nome. Si noti che alcuni malware nascondono i nomi dei processi sotto nomi di processi Windows legittimi. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere «Delete».

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non venga eseguito automaticamente al successivo avvio del sistema), dovrebbe cercare il nome del malware sul suo computer. Assicurarsi di abilitare i file e le cartelle nascosti prima di procedere. Se trova il nome del file del malware, assicurarsi di rimuoverlo.

Riavviare il computer in modalità normale. Seguendo questi passaggi si dovrebbe rimuovere qualsiasi malware dal computer. Si noti che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possiede queste competenze, lasci la rimozione del malware ai programmi antivirus e anti-malware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione che cercare di rimuovere il malware in seguito. Per mantenere il computer al sicuro, installare gli ultimi aggiornamenti del sistema operativo e utilizzare un software antivirus. Per essere sicuri che il computer sia libero da infezioni malware, consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.
Domande Frequenti (FAQ)
Il mio computer è infettato dal malware MODBEACON RAT, dovrei formattare il mio dispositivo di archiviazione per liberarmene?
La formattazione rimuoverà MODBEACON RAT, ma cancella anche ogni file sull'unità. Uno strumento di sicurezza affidabile come Combo Cleaner dovrebbe solitamente essere provato per primo.
Quali sono i problemi più gravi che il malware MODBEACON RAT può causare?
MODBEACON RAT può fornire agli aggressori un accesso remoto continuo al suo computer e consentire loro di caricare plugin dannosi aggiuntivi a piacimento. Questo può portare a furto di dati, ulteriori infezioni e sorveglianza occulta a lungo termine.
Qual è lo scopo del malware MODBEACON RAT?
Lo scopo di MODBEACON RAT è fornire ai suoi operatori un accesso remoto occulto e persistente ai computer Windows infetti, in modo che possano impartire comandi e caricare plugin aggiuntivi evitando il rilevamento.
Come si è infiltrato il malware MODBEACON RAT nel mio computer?
MODBEACON RAT è stato distribuito tramite programmi di installazione contraffatti di software popolari come app VPN, metodi di input, emulatori e strumenti di gestione iOS, spinti verso le vittime attraverso risultati di ricerca con SEO-poisoning.
Combo Cleaner mi proteggerà dal malware?
Sì. Combo Cleaner può rilevare e rimuovere la maggior parte dei malware noti. Poiché minacce come MODBEACON RAT sono progettate per nascondersi in profondità nel sistema, si consiglia di eseguire una scansione completa del sistema per assicurarsi che nulla venga tralasciato.
Condividi:
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione