Como eliminar o malware do tipo MrAnon stealer do sistema operativo
Escrito por Tomas Meskauskas a
Que tipo de malware é o MrAnon?
MrAnon é o nome de um malware para roubo de informações escrito na linguagem de programação Python. Este ladrão tem uma variedade de capacidades de extração de dados e visa informações de navegadores, carteiras de criptomoedas, mensageiros e outras aplicações.
No momento em que escrevo, os desenvolvedores do MrAnon estão a oferecê-lo para venda on-line; portanto, existem várias variantes com diferentes funcionalidades com base no plano de pagamento. É pertinente mencionar que este malware tem sido observado a ser proliferado através de campanhas de spam por correio eletrónico.
Visão geral do malware MrAnon
Após a infiltração bem sucedida, o MrAnon pode exibir uma janela pop-up afirmando "File Not Supported", sucedida por outra afirmando "Not Run: python.exe". Estas mensagens são usadas para enganar as vítimas e fazê-las pensar que a potencial instalação de malware nos seus dispositivos falhou. Assim, é criada uma falsa sensação de segurança, diminuindo as hipóteses de os utilizadores tomarem medidas adicionais para proteger os seus sistemas.
O malware MrAnon inicia as suas operações procurando e terminando processos de interesse, tais como os associados a aplicações direccionadas como navegadores, messengers, cryptowallets, etc.
Este ladrão recolhe dados relevantes do dispositivo. Um dos métodos utilizados é visitar furtivamente sites legítimos para obter o endereço IP da vítima (geolocalização), bem como o nome e código do país. O MrAnon pode chegar aos sistemas fortemente comprimido, e o seu pequeno tamanho de ficheiro pode ajudar a evitar a deteção.
O programa malicioso é capaz de descarregar ficheiros de dispositivos infectados. Verifica os seguintes locais - Ambiente de Trabalho, Documentos, Imagens e Transferências - para estes formatos: 7z, BMP, CONF, CSV, DAT, DB, DOC, JPEG, JPG, KDBX, KEY, ODT, OVPN, PDF, PNG, RAR, RDP, RTF, SQL, TAR, TXT, WALLET, XLS, XLSX, XLM, ZIP, etc.
Tirar screenshots também está entre as capacidades do ladrão. O MrAnon pode extrair informações de mais de vinte browsers (lista completa). Os dados de interesse podem incluir: históricos de navegação e de motores de busca, cookies da Internet, nomes de utilizador/palavras-passe, dados de identificação pessoal, números de cartões de crédito, etc.
Também tem como alvo as carteiras de criptomoeda de desktop e de extensão de navegador (lista completa). Além disso, o ladrão procura dados de mensageiros, software de autenticação, gestores de senhas, clientes VPN (Virtual Private Network), software relacionado com jogos e FTP (File Transfer Protocol) clientes (lista completa).
As informações obtidas pelo MrAnon são comprimidas num ficheiro(s) e carregadas num sítio de alojamento de ficheiros; uma mensagem notificando a criação e incluindo a ligação de descarregamento é então enviada para o Telegram dos atacantes.
É de salientar que os criadores de malware melhoram frequentemente o seu software; por conseguinte, potenciais iterações futuras do MrAnon podem ter funcionalidades e características adicionais/diferentes.
Em resumo, a presença de malware como o MrAnon stealer nos dispositivos pode levar a graves problemas de privacidade, perdas financeiras e roubo de identidade.
| Nome | MrAnon malware |
| Tipo de ameaça | Trojan, ladrão, vírus que rouba palavras-passe, spyware. |
| Nomes de deteção | Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.70549116), ESET-NOD32 (PowerShell/TrojanDownloader.Agent.HRU), Kaspersky (Trojan.Win64.Agentb.kxby), Symantec (Infostealer.Limitail), Lista completa de detecções (VirusTotal) |
| Sintomas | Os cavalos de Troia são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que nenhum sintoma específico é claramente visível numa máquina infetada. |
| Métodos de distribuição | Anexos de correio eletrónico infectados, anúncios online maliciosos, engenharia social, "cracks" de software. |
| Danos | Senhas e informações bancárias roubadas, roubo de identidade, o computador da vítima adicionado a uma rede de bots. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Exemplos de malware do tipo Stealer
Vare, Ansiety, Epsilon, Laze, Serpent, e TrapStealer são apenas alguns exemplos de ladrões sobre os quais escrevemos recentemente. O malware de roubo de informação pode ter como alvo detalhes incrivelmente específicos ou uma vasta gama de dados. Estes programas podem ter outras capacidades, uma vez que o malware não está limitado pela sua classificação.
É de salientar que, independentemente da forma como o software malicioso funciona, a sua presença num sistema ameaça a integridade do dispositivo e a segurança do utilizador. Por conseguinte, todas as ameaças devem ser removidas imediatamente após a sua deteção.
Como é que o MrAnon se infiltrou no meu computador?
Como mencionado na introdução, o MrAnon tem sido visto a proliferar através de e-mails de spam. Uma das campanhas conhecidas envolvia missivas relativas a uma reserva de hotel supostamente efectuada pelos destinatários. Os e-mails com o assunto "December Room Availability Query" (pode variar) incluíam anexos de documentos PDF maliciosos intitulados "Booking.pdf".
Ao abrir o documento, o fundo apresentava o que pareciam ser digitalizações de um documento de identidade e de um cartão de crédito/débito; uma janela pop-up era exibida em primeiro plano. O texto desta janela indicava que o "Adobe Flash Player" estava desatualizado e o utilizador era instado a actualizá-lo.
A interação com este pop-up desencadeou o processo de descarregamento/instalação do malware. O PDF descarregou um executável .NET, que recuperou e executou vários scripts PowerShell. A cadeia culminou com a instalação do stealer MrAnon.
Deve ser mencionado que outras iscas ou ficheiros podem ser usados para espalhar o MrAnon. Para além dos e-mails, o malware pode ser distribuído através de DMs/PMs, SMSs e outras mensagens.
Os ficheiros infecciosos podem ser anexados ou ligados a mensagens de spam. Estes ficheiros apresentam-se em vários formatos, por exemplo executáveis (.exe, .run, etc.), arquivos (ZIP, RAR, etc.), documentos (Microsoft Office, Microsoft OneNote, PDF, etc.), JavaScript e assim por diante.
Outros métodos comuns de proliferação de malware incluem: descarregamentos drive-by (furtivos/deceptivos), fraudes online, malvertising, canais de descarregamento não confiáveis (por exemplo freeware e sites de alojamento de ficheiros gratuitos, redes de partilha P2P, etc.), ferramentas de ativação de programas ilegais ("cracks") e actualizações falsas.
Além disso, alguns programas maliciosos podem auto-propagar-se através de redes locais e dispositivos de armazenamento amovíveis (por exemplo, unidades flash USB, discos rígidos externos, etc.).
Como evitar a instalação de malware?
Recomendamos que as mensagens de correio eletrónico e outras mensagens recebidas sejam tratadas com cuidado. Os anexos ou ligações presentes em correio duvidoso/irrelevante não devem ser abertos, pois podem ser maliciosos. Outra recomendação é ter cuidado ao navegar, uma vez que os conteúdos falsos e perigosos em linha parecem normalmente legítimos e inócuos.
Além disso, todas as transferências devem ser efectuadas a partir de fontes oficiais e verificadas. Aconselhamos a ativação e atualização de programas através de funções/ferramentas genuínas, uma vez que as ferramentas de ativação ilegais ("cracking") e os actualizadores de terceiros podem conter malware.
Devemos salientar a importância de ter um antivírus fiável instalado e mantido atualizado. O software de segurança deve ser utilizado para efetuar verificações regulares do sistema e para remover ameaças e problemas. Se acredita que o seu computador já está infetado, recomendamos a execução de uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Navegadores seleccionados:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, 7Star, Amigo, Brave, Cent Browser, Chrome Canary, Epic Privacy Browser, Iridium, Kometa, Opera GX, Orbitum, Pale Moon, SeaMonkey, Sputnik, Torch, Uran, Vivaldi, Waterfox, e Yandex.
Extensões de browser relacionadas com criptomoedas e cripto-moedas:
Aergo Connect, Armory, Atomic, Auro, Binance, BitKeep, BoltX, BlockWallet, Braavos, Bytecoin Wallet, CLV Wallet, Coin98, Coinbase, Cyano, Coinomi, Enkrypt, Eternl, EVER, Exodus, Fewcha Move, Finnie, GeroWallet, Goby, Guarda, HashPack, HAVAH, ICONex, iWallet, Jaxx Liberty, KardiaChain, Keeper, Keplr, KHC Wallet, Leap Terra, Liquality, MadWallet, Math, MetaMask, Meta Wallet, MEW CX, MultiversX DeFi Wallet, Nami, NeoLine, Nifty, OKX Wallet, OsmWallet, Pali, Petra Aptos, Phantom, Polygon, Polymesh, Pontem Aptos, Rabby, Ronin, SafePal, Sender Wallet, Solflare, Station, Sui, Tally Ho, Temple, TexBox, Tronium, Tron Link, Trust, Virgo, WAGMIswap.io, Wombat, XDEFI, e Yoroi.
Outras extensões de browser direccionadas:
Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Bitwarden, KeePassHelper, KeePass Tusk, KeePassXC, Trezor Password Manager, Microsoft Autofill, NordVPN, e Proton VPN.
Software de mensagens direccionadas:
Discord, Discord Canary, Element, Signal, e Telegram.
Software diverso direcionado para o público-alvo:
FileZilla, FileZilla Server, NordVPN, OpenVPN Connect, ProtonVPN, e Steam.
Captura de ecrã da conta Telegram utilizada pelos criadores do MrAnon stealer:
Captura de ecrã do MrAnon stealer a ser vendido online:
Captura de ecrã de um e-mail de spam usado para proliferar o MrAnon stealer:
Texto apresentado nesta carta eletrónica:
Subject: December Room Availability Query - Jame Mandez
Dear Esteemed Hotel ,
Greetings. I write on behalf of Lurstanco LLC to inquire about a reservation at your esteemed hotel from December 20th to 30th, 2023.
Enclosed, please find our preliminary booking details. We seek to reserve a Double Room with a spacious bed for two guests. Your confirmation of the room's availability for these dates would be highly appreciated.
Additionally, information regarding your rates and any special offerings available during our stay would be most welcome.
We eagerly anticipate the opportunity to experience the distinguished hospitality of your hotel.
Thank you for your attention to this request. We look forward to your prompt and favorable reply.
Yours sincerely,
Daniel Mendez
Lurstanco LLC
Captura de ecrã do PDF malicioso anexado a este e-mail de spam ("Booking.pdf"):
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é o MrAnon?
- PASSO 1. Remoção manual do malware MrAnon.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que os programas antivírus ou anti-malware façam isso automaticamente. Para remover esse malware, recomendamos usar Combo Cleaner.
Se pretender remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, utilizando gerenciador de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:
Download de um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o Registo e as localizações do sistema de ficheiros:
Restart seu computador no Modo de Segurança:
Usuários do Windows XP e Windows 7: Inicie o computador no Modo de segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar e clique em OK. Durante o processo de inicialização do computador, pressione a tecla F8 no teclado várias vezes até ver o menu Opções avançadas do Windows e, em seguida, selecione Modo de segurança com rede na lista.
Vídeo que mostra como iniciar o Windows 7 no "Modo de segurança com rede":
{KynlaYPDbeI{/youtube}
Utilizadores do Windows 8: Iniciar o Windows 8 no modo de segurança com rede - Aceda ao ecrã inicial do Windows 8, escreva Avançadas e, nos resultados da pesquisa, seleccione Definições. Clique em Opções de arranque avançadas, na janela aberta "Definições gerais do PC", seleccione Arranque avançado.
Clique no botão "Reiniciar agora". O computador será reiniciado no menu "Opções avançadas de inicialização". Clique no botão "Resolução de problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".
Clique no botão "Reiniciar". O PC será reiniciado no ecrã Definições de arranque. Prima F5 para arrancar no Modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 8 no "Modo de segurança com rede":
Utilizadores do Windows 10: Clique no logótipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar" enquanto mantém pressionado o botão "Shift" no teclado. Na janela "escolher uma opção", clique em "Resolução de problemas" e, em seguida, seleccione "Opções avançadas".
No menu de opções avançadas, seleccione "Definições de arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar no botão "F5" do seu teclado. Isto irá reiniciar o seu sistema operativo em modo de segurança com ligação em rede.
Vídeo que mostra como iniciar o Windows 10 no "Modo de segurança com rede":
{Gb6v_jvjTlU{/youtube}
Extraia o arquivo baixado e execute o arquivo Autoruns.exe.
Na aplicação Autoruns, clique em "Options" na parte superior e desmarque as opções "Hide Empty Locations" e "Hide Windows Entries". Após este procedimento, clique no ícone "Atualizar".
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o caminho e o nome completos. Note que alguns malwares escondem nomes de processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros de sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o seu nome e escolha "Eliminar".
Depois de remover o malware através da aplicação Autoruns (isto assegura que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de que ativa os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de que o remove.
Reinicie o seu computador no modo normal. Seguir estes passos deverá remover qualquer malware do seu computador. Tenha em atenção que a remoção manual de ameaças requer conhecimentos informáticos avançados. Se não tiver esses conhecimentos, deixe a remoção de malware para os programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas de malware. Como sempre, é melhor prevenir a infeção do que tentar remover o malware mais tarde. Para manter o seu computador seguro, instale as actualizações mais recentes do sistema operativo e utilize software antivírus. Para ter a certeza de que o seu computador está livre de infecções por malware, recomendamos que o analise com Combo Cleaner.
Perguntas frequentes (FAQ)
O meu computador está infetado com malware MrAnon, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Não, a remoção de malware raramente requer formatação.
Quais são os maiores problemas que o malware MrAnon pode causar?
Os perigos associados a uma infeção dependem das funcionalidades do malware e da interferência dos criminosos virtuais. MrAnon é um ladrão - um tipo de malware que extrai e exfiltra dados (por exemplo, credenciais de log-in, cryptowallets, etc.). Geralmente, infecções deste tipo podem levar a graves problemas de privacidade, perdas financeiras e roubo de identidade.
Qual é o objetivo do malware MrAnon?
O software malicioso é normalmente utilizado para gerar receitas. No entanto, os cibercriminosos também podem utilizar software malicioso para se divertirem, levarem a cabo vinganças pessoais, perturbarem processos (por exemplo, sítios Web, serviços, empresas, etc.) e até lançarem ataques com motivações políticas/geopolíticas.
Como é que o malware MrAnon se infiltrou no meu computador?
O MrAnon tem sido observado a ser espalhado através de anexos maliciosos em e-mails de spam relacionados com reservas de hotéis. No entanto, outros métodos de distribuição não são improváveis.
Para além do correio não solicitado, o malware é amplamente distribuído através de descarregamentos automáticos, fraudes em linha, canais de descarregamento duvidosos (por exemplo, sites de alojamento de ficheiros gratuitos e de freeware, redes de partilha P2P, etc.), ferramentas ilegais de ativação de software ("cracks"), actualizadores falsos e malvertising. Alguns programas maliciosos podem mesmo auto-proliferar-se através de redes locais e dispositivos de armazenamento amovíveis.
O Combo Cleaner protege-me de malware?
Sim, o Combo Cleaner é capaz de detetar e eliminar quase todas as infecções de malware conhecidas. Note que executar uma verificação completa do sistema é crucial, uma vez que os programas maliciosos topo de gama normalmente se escondem nas profundezas dos sistemas.
Excelente!
▼ Mostrar comentários