FacebookTwitterLinkedIn

Como remover o malware XcodeSpy?

Também Conhecido Como: backdoor XcodeSpy
Distribuição: Baixo
Nível de Estragos: Grave

Como remover o XcodeSpy do Mac?

O que é XcodeSpy?

O malware XcodeSpy tem como alvo os desenvolvedores da Apple, que é distribuído através de projetos Xcode maliciosos (trojanizados) (recurso Run Script no Xcode IDE). A pesquisa demonstra que um destes projetos Xcode maliciosos (denominado TabBarInteraction) deve incluir recursos para animar a barra de separadors do iOS. É provável que haja mais de um projeto Xcode trojanizado. Um código malicioso que o XcodeSpy usa pode ser facilmente escondido e lançado em qualquer projeto Xcode de terceiros. O XcodeSpy (ou melhor, a backdoor que injeta) pode gravar áudio a usar o microfone, vídeo a usar a câmara e entrada de teclado. Além disso, pode fazer descarregamento e carregamento de ficheiros.

Malware XcodeSpy instalado backdoor EggShell

Conforme mencionado no primeiro parágrafo, o XcodeSpy é distribuído ao usar o recurso Run Script no Xcode IDE. Depois que um projeto Xcode trojanizado (XcodeSpy) é iniciado, instala o backdoor EggShell no sistema operativo. Em seguida, os invasores podem usar o backdoor instalado para gravar áudio a usar o microfone, vídeo a usar a câmara, registar as teclas digitadas (gravar entrada do teclado), fazer o carregamento e descarregamento de ficheiros. É comum que os criminosos cibernéticos usem microfones e câmaras sequestrados para gravar vídeos, áudios que podem ser usados ​​para chantagear as vítimas. Frequentemente, os criminosos cibernéticos ameaçam publicar o material gravado se as vítimas não pagarem uma determinada quantia em dinheiro (Normalmente, em criptomoeda). O recurso de registo de teclas premidas permite que os invasores registem tudo o que as vítimas digitam com o seu teclado. Isso significa que os criminosos cibernéticos podem obter dados como credenciais de login (nomes de utilizador, endereços de e-mail, palavras-passe) para várias contas pessoais (de média social a contas bancárias), detalhes de cartão de crédito, números de previdência social, números de contas bancárias e assim por diante . Dependendo dos dados de registo, pode ser usado para roubar contas online, identidades, fazer compras fraudulentas, transações e outros fins maliciosos. Além disso, todas as informações extraídas podem ser vendidas a terceiros (outros criminosos cibernéticos).

Além disso, o XcodeSpy/backdoor instalado pode ser usado para descarregar ficheiros armazenados no computador da vítima, incluindo documentos pessoais, fotos, vídeos, etc. Os criminosos cibernéticos podem ameaçar publicar estes ficheiros também e pedir pagamento em troca de não disponibilizar publicamente os ficheiros roubados. Ou podem tentar rentabilizar os ficheiros descarregues de alguma outra forma. Conforme mencionado no parágrafo anterior, o XcodeSpy pode ser usado não apenas para fazer descarregamento, mas também para fazer o carregamento de ficheiros. É comum que os criminosos cibernéticos usem este recurso para distribuir malware ou outro software indesejado. É importante mencionar que o malware XcodeSpy instala um LaunchAgent do utilizador para persistência (o malware permanece ativo mesmo após a reinicialização do sistema).

Resumo de Ameaça:
Nome backdoor XcodeSpy
Tipo de Ameaça Malware de backdoor
Nomes de Detecção (EggShell backdoor) Avast (MacOS:Eggshell-L [Trj]), BitDefender (Trojan.MAC.Generic.105295), ESET-NOD32 (Uma Variante De OSX/EggShell.M), Kaspersky (HEUR:Backdoor.OSX.EggShell.a), Lista Completa (VirusTotal).
Sintomas O malware do tipo trojan é projetado para infiltrar-se furtivamente no computador da vítima e permanecer silencioso e, portanto, nenhum sintoma específico é claramente visível na máquina infectada.
Métodos de Distribuição Projetos Xcode Trojanized/de terceiros
Danos Dados, perda financeira, perda de acesso a contas pessoais, problemas com segurança de navegação, privacidade online
Remoção

Para eliminar backdoor XcodeSpy, os nossos pesquisadores de malware recomendam que verifique o seu computador com Combo Cleaner.
▼ Descarregar Combo Cleaner
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível.

Mais exemplos de software malicioso que os criminosos cibernéticos usam para atacar utilizadores do Mac são Silver Sparrow, Eleanor, e Proton. Na maioria dos casos, os criminosos cibernéticos distribuem malware com o objetivo de roubar informações pessoais que poderiam ser rentabilizadas de uma ou outra forma ou infectar os computadores com malware adicional (por exemplo, trojans, ransomware), que permitiria que roubassem informações ou chantageassem as vítimas. Conforme mencionado nos parágrafos anteriores, o XcodeSpy distribui-se através de projetos Xcode maliciosos partilhados, ao abusar do recurso Run Script. Portanto, os desenvolvedores da Apple são fortemente aconselhados a verificar projetos Xcode de terceiros à procura de Run Scripts maliciosos ao adoptá-los.

Como é que as aplicações potencialmente indesejadas foram instaladas no meu computador?

É provável que pelo menos um dos projetos Xcode maliciosos usados ​​para distribuir backdoor XcodeSpy esteja (ou estava) disponível para descarregamento numa plataforma de hospedagem de código chamada GitHub. Vários fóruns de desenvolvedores também podem ser usados. Mais exemplos de canais que os criminosos cibernéticos usam para distribuir o seu malware são campanhas de spam (e-mails com anexos ou links maliciosos), atualizadores de software falsos, ferramentas de 'cracking' de software (ferramentas que ativam ilegalmente software licenciado), certos trojans e fontes não confiáveis ​​para descarregamento de ficheiros, os programas. Exemplos de canais questionáveis ​​para descarregamento de ficheiros são redes peer-to-peer (por exemplo, clientes de torrent, eMule), descarregadores de terceiros, sites de descarregamento de freeware, páginas de hospedagem de ficheiros grátis, sites não oficiais. É importante mencionar que os instaladores de terceiros também podem ser maliciosos.

Como evitar a instalação de aplicações potencialmente indesejadas?

Neste caso, os utilizadores (desenvolvedores da Apple) são aconselhados a verificar projetos Xcode partilhados à procura de Run Scripts maliciosos ao adoptá-los. Além disso, é recomendável descarregar ficheiros ou software apenas de sites oficiais e a usar links diretos para descarregamento. Caso esteja a usar o projeto de outra pessoa, certifique-se que a fonte seja confiável. Atualize ou ative o software instalado a usar ferramentas fornecidas por os seus desenvolvedores oficiais. Nunca use ferramentas não oficiais de terceiros nem para atualizar ou ativar o software. Essas ferramentas podem ser maliciosas e não é legal usar ferramentas de terceiros para ativar o software licenciado. Além disso, é altamente recomendável não confiar em e-mails irrelevantes recebidos de um remetente desconhecido e suspeito. Se estes e-mails contiverem anexos, links de sites, estes ficheiros e links não devem ser abertos/clicados. É importante lembrar que os criminosos cibernéticos disfarçam os seus e-mails como cartas oficiais importantes. Se o seu computador já estiver infectado com APIs, recomendamos executar uma verificação com Combo Cleaner para eliminá-las automaticamente.

Ficheiro de backdoor Eggshell detectado como uma ameaça no VirusTotal:

xcodespy malware virustotal

Remoção imediata automática de backdoor XcodeSpy: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Combo Cleaner é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de backdoor XcodeSpy. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Combo Cleaner (Mac) O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

O vídeo demonstra como remover adware e sequestradores de navegador de um computador Mac:

Remoção das aplicações potencialmente indesejadas:

Remova as aplicações potencialmente indesejadas de sua pasta "Aplicações":

remoção do sequestrador de navegador mac da sua pasta aplicações

Clique no ícone Finder. Na janela do Finder, selecione "Aplicações". Na pasta de aplicações, procure por "MPlayerX", "NicePlayer" ou outras aplicações suspeitas e arraste-as para a Reciclagem. Depois de remover as aplicações potencialmente indesejadas que causam os anúncios online, faça uma verificação no seu Mac à procura de componentes indesejados restantes.

Remova os ficheiros e pastas relacionados a backdoor xcodespy:

Ir a Finder na pasta de comandos

Clique no ícone do Finder, no menu de barras. Escolha Ir, e clique em Ir para Pasta...

step1Verifique por ficheiros gerados por adware na pasta /Library/LaunchAgents:

remoção do adware da pasta launch agents passo 1

Na pasta Ir para...barra, tipo: /Library/LaunchAgents

remoção do adware da pasta launch agents passo 2Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step2Verifique para adware gerado por ficheiros na pasta /Library/Application Support:

remoção do adware da aplicação support folder passo 1

Na pasta Ir para...barra, tipo: /Library/Application Support

remoção do adware da aplicação support folder passo 2Na pasta "Application Support", procure qualquer pasta suspeita recém-adicionada. Por exemplo, "MPlayerX" ou tese "NicePlayer" e mova as pastas para a Reciclagem.

step3Verifique por ficheiros gerados por adware na pasta ~/Library/LaunchAgents:

remoção do adware da pasta ~launch agents passo 1


Na barra Ir para Pasta, escreva: ~/Library/LaunchAgents

remoção do adware da pasta ~launch agents passo 2

Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step4Verifique por ficheiros gerados por adware na pasta /Library/LaunchDaemons:

remoção do adware da pasta launch daemons passo 1Na pasta Ir para...barra, tipo: /Library/LaunchDaemons

remoção do adware da pasta launch daemons passo 2

Na pasta "LaunchDaemons", procure qualquer ficheiro suspeito recém-adicionado. Por exemplo “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., e mova-os para a Reciclagem.

step 5 Verifique o seu Mac com o Combo Cleaner:

Se seguiu todas as etapas na ordem correta, o Mac deve estar livre de infecções. Para ter certeza de que seu sistema não está infectado, execute uma verificação com o Combo Cleaner Antivirus. Descarregue-o AQUI. Depois de descarregar o ficheiro, clique duas vezes no instalador combocleaner.dmg, na janela aberta, arraste e solte o ícone Combo Cleaner no topo do ícone Applications. Agora abra a sua barra de lançamento e clique no ícone Combo Cleaner. Aguarde até que o Combo Cleaner atualize seu banco de dados de definições de vírus e clique no botão "Start Combo Scan".

scan-with-combo-cleaner-1

O Combo Cleaner irá analisar o seu Mac em pesquisa de infecções por malware. Se a verificação antivírus exibir "nenhuma ameaça encontrada", isso significa que pode continuar com o guia de remoção, caso contrário, é recomendável remover todas as infecções encontradas antes de continuar.

scan-with-combo-cleaner-2

Depois de remover os ficheiros e pastas gerados pelo adware, continue a remover extensões fraudulentas dos seus navegadores de Internet.

Remoção do backdoor xcodespy dos navegadores de Internet:

safari browser iconRemova extensões fraudulentas do Safari:

Remova backdoor xcodespy as extensões relacionada ao Safari:

preferências do navegador Safari

Abra o navegador Safari, a partir do menu de barra, selecione "Safari" e clique em "Preferências ...".

janela de extensões Safari

Na janela de preferências, selecione "Extensões" e procure por qualquer extensão suspeita recém-instalada. Quando localizada clique no botão "Desinstalar" ao lado dela/delas. Note que pode desinstalar seguramente todas as extensões do seu navegador Safari - não são cruciais para o funcionamento normal do navegador.

  • Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Safari.

firefox browser iconRemova os plugins fraudulentos do Mozilla Firefox:

Remova backdoor xcodespy add-ons relacionados ao Mozilla Firefox:

Acedendo aos add-ons de Mozilla Firefox

Abra o navegador Mozilla Firefox. No canto superior direito do ecrã, clique no botão "Abrir Menu" (três linhas horizontais). No menu aberto, escolha "Add-ons".

Remova os add-ons fraudulentos do Mozilla Firefox

Escolha o separador "Extensões" e procure os complementos suspeitos recém-instalados. Quando localizado clique no botão "Desinstalar" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Mozilla Firefox - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Mozilla Firefox.

chrome-browser-iconRemova as extensões fraudulentas do Google Chrome:

Remova backdoor xcodespy add-ons relacionados ao Google Chrome:

removendo as extensões fraudulentas do Google Chrome passo 1

Abra o Google Chrome e clique no botão "menu Chrome" (três linhas horizontais), localizado no canto superior direito da janela do navegador. A partir do menu flutuante, escolha "Mais Ferramentas" e selecione "Extensões".

removendo as extensões fraudulentas do Google Chrome passo 2

Escolha a janela "Extensões" e procure os add-ons suspeitos recém-instalados. Quando localizado clique no botão "Reciclagem" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Google Chrome - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Google Chrome.

Clique para fazer um comentário.

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
backdoor XcodeSpy Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de backdoor XcodeSpy no seu dispositivo móvel.
Nós recomendamos:

Livre-se de backdoor XcodeSpy hoje:

▼ REMOVER AGORA com Combo Cleaner (Mac)

Plataforma: macOS

Classificação do editor para Combo Cleaner:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível.