Como remover o 3Crypt RAT do Mac

Que tipo de malware é 3Crypt RAT?

3Crypt RAT é um Trojan de Acesso Remoto que visa sistemas macOS. No momento em que é executado, realiza uma análise detalhada da máquina infetada - recolhendo identificadores de hardware, lendo as definições de segurança do dispositivo, mapeando a rede e enumerando todos os processos em execução. Em seguida, instala múltiplos mecanismos de persistência para sobreviver a reinícios e utiliza uma série de técnicas de evasão para ocultar a sua atividade tanto do utilizador como do software de segurança. Se o 3Crypt RAT for detetado num dispositivo, deve ser removido o mais rapidamente possível.

Visão geral do 3Crypt RAT

Após a primeira execução, o 3Crypt RAT começa imediatamente a construir um perfil detalhado do Mac infetado. Recolhe detalhes de hardware, incluindo o nome do modelo do dispositivo, número de série, UUID, modelo do CPU, RAM instalada e GPU. Também lê o estado atual das funcionalidades de segurança integradas no macOS: se a Proteção de Integridade do Sistema (SIP) está ativa, se a encriptação de disco FileVault está ativada e se a firewall do sistema está ligada. Isto dá ao atacante uma imagem imediata de quão bem protegido está o alvo antes de qualquer ação adicional ser tomada.

O reconhecimento de rede é executado ao mesmo tempo. O RAT identifica todas as interfaces de rede disponíveis, o gateway predefinido, endereços de servidor DNS, a tabela ARP local e realiza uma verificação das portas abertas na máquina. Paralelamente, utiliza interfaces de sistema de baixo nível do macOS para obter uma lista completa de todos os processos atualmente em execução - trabalho preparatório que permite ao operador potencialmente injetar código ou interferir com aplicações específicas.

Mecanismos de persistência

O 3Crypt RAT instala três mecanismos de persistência separados para sobreviver a reinícios e permanecer ativo mesmo que um método seja removido. Escreve e carrega imediatamente um ficheiro de lista de propriedades LaunchAgent com o identificador com.test.3crypt, definindo a flag RunAtLoad para que o macOS lance o RAT automaticamente cada vez que o utilizador inicia sessão.

Os ficheiros de inicialização da shell também são modificados. O malware adiciona um marcador oculto ao .zshrc, .bashrc e .bash_profile, garantindo que se re-executa sempre que o utilizador abre uma sessão de terminal. Uma terceira camada de persistência provém de uma entrada crontab - uma tarefa agendada que pode acionar o RAT em intervalos regulares independentemente dos outros mecanismos.

Evasão de defesas

O 3Crypt RAT utiliza várias técnicas para evitar a deteção e complicar a análise forense. Inspeciona a cadeia de identificação do CPU e analisa padrões de alocação de memória para detetar se está a ser executado dentro de uma máquina virtual ou numa sandbox de segurança automatizada. Se suspeitar que está a ser analisado, pode alterar o seu comportamento para evitar acionar alarmes. Também aplica medidas de anti-depuração utilizando a chamada de sistema ptrace, que impede os investigadores de segurança de anexar ferramentas de análise ao processo em execução.

Para dificultar a investigação forense, o RAT manipula os carimbos de data/hora dos ficheiros utilizando a chamada de sistema utimes, ocultando o momento real das suas operações de ficheiros no disco. Também injeta entradas falsas nos registos do sistema, corrompendo o rasto forense em que os investigadores normalmente confiam. Finalmente, utiliza o osascript - o ambiente de scripting integrado do macOS - para realizar ocultação contextual, permitindo-lhe misturar-se com a atividade legítima do sistema ou suprimir a sua visibilidade dependendo do que mais está a ser executado na máquina.

Conclusão

O 3Crypt RAT é uma ferramenta de acesso remoto capaz e bem equipada que concede ao atacante acesso persistente e furtivo ao Mac infetado. Através de fingerprinting de hardware, enumeração de processos, reconhecimento de rede e persistência em três camadas, estabelece uma posição firme no dispositivo comprometido. As suas técnicas de evasão - incluindo deteção de VM, anti-depuração, manipulação de carimbos de data/hora e envenenamento de registos - tornam-no particularmente difícil de detetar e analisar após o facto.

As vítimas podem enfrentar roubo de dados, sequestro de contas, roubo de identidade, perdas financeiras e a possibilidade de malware adicional ser introduzido através da backdoor estabelecida. Como o 3Crypt RAT opera silenciosamente, os utilizadores frequentemente não têm qualquer indicação de que algo está errado. A remoção deve ser realizada assim que uma infeção for suspeitada.

Mais exemplos de malware direcionado ao macOS são o Overlord, GolangGhost e Bella.

Como é que o 3Crypt RAT se infiltrou no meu computador?

Os métodos de distribuição específicos utilizados para espalhar o 3Crypt RAT são atualmente desconhecidos. Em geral, os Trojans de Acesso Remoto dependem de phishing e engenharia social para alcançar as vítimas. Os programas maliciosos são tipicamente disfarçados como ou agrupados com software ou media legítimos, e simplesmente abrir um ficheiro infetado pode ser suficiente para desencadear uma infeção.

Os canais de distribuição comuns incluem anexos de e-mail maliciosos, trojans, descarregamentos drive-by, fontes de descarregamento duvidosas como sites de freeware e redes Peer-to-Peer, software e media pirateados, ferramentas de ativação ilegais ("cracks") e avisos falsos de atualização de software. Alguns programas maliciosos também são capazes de se auto-propagar através de redes locais e dispositivos de armazenamento removíveis, como pen drives USB.

Como evitar malware?

Tenha cuidado com e-mails, mensagens diretas e ficheiros de fontes inesperadas ou desconhecidas. Evite abrir anexos ou clicar em links em mensagens suspeitas. Descarregue software apenas de fontes oficiais como a Mac App Store ou o website do próprio programador, e evite aplicações pirateadas, geradores de chaves e instaladores não oficiais. Mantenha o macOS e todas as aplicações instaladas atualizados regularmente.

Evite clicar em anúncios pop-up, links suspeitos ou notificações de navegador de websites desconhecidos. Utilize uma aplicação de segurança respeitável e realize verificações regulares do sistema. Se o seu computador já estiver infetado, recomendamos executar uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente todas as ameaças.

Remoção automática instantânea do malware:

A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:

Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Menu rápido:

• O que é o 3Crypt RAT?
• Remover ficheiros e pastas relacionados com o 3Crypt RAT do OSX.

Remoção de aplicações potencialmente indesejadas:

Remova as aplicações potencialmente indesejadas da sua pasta "Aplicações":

Clique no ícone do Finder. Na janela do Finder, selecione "Aplicações". Na pasta de aplicações, procure por "MPlayerX", "NicePlayer" ou outras aplicações suspeitas e arraste-as para o Lixo. Após remover a(s) aplicação(ões) potencialmente indesejada(s) que causam anúncios online, verifique o seu Mac para quaisquer componentes indesejados restantes.

Perguntas Frequentes (FAQ)

O meu computador está infetado com o malware 3Crypt RAT, devo formatar o meu dispositivo de armazenamento para me livrar dele?

A formatação removerá completamente o 3Crypt RAT, mas também apagará tudo o que está armazenado no dispositivo. Antes de tomar uma medida tão drástica, é geralmente recomendado tentar primeiro uma ferramenta de segurança fiável como o Combo Cleaner.

Quais são os maiores problemas que o malware 3Crypt RAT pode causar?

O 3Crypt RAT concede aos atacantes acesso remoto persistente e silencioso ao Mac infetado. Isto pode resultar em roubo de dados, sequestro de contas, roubo de identidade, perda financeira e a implantação de malware adicional. Como utiliza técnicas de evasão e opera sem sintomas visíveis, pode permanecer ativo num sistema durante muito tempo antes de ser descoberto.

Qual é o propósito do malware 3Crypt RAT?

O propósito do 3Crypt RAT é dar aos atacantes acesso remoto contínuo a dispositivos macOS infetados. Ao traçar o perfil do hardware, configurações de segurança, rede e processos em execução, fornece ao operador uma consciência situacional detalhada e uma posição persistente para ataques adicionais ou roubo de dados.

Como é que o malware 3Crypt RAT se infiltrou no meu computador?

Os métodos de distribuição específicos do 3Crypt RAT ainda não são conhecidos. O malware é geralmente espalhado através de e-mails de phishing, instaladores trojanizados, conteúdo pirateado, anúncios maliciosos, atualizações de software falsas e cracks de software. Algumas ameaças também se espalham através de redes locais ou dispositivos de armazenamento removíveis.

O Combo Cleaner proteger-me-á contra malware?

Sim, o Combo Cleaner pode detetar e remover uma ampla gama de ameaças. No entanto, algum malware avançado pode esconder-se profundamente no sistema, pelo que é fortemente recomendado executar uma verificação completa para garantir a eliminação total.