Como remover o MODBEACON RAT do sistema operativo

Trojan

Também conhecido como: Trojan de acesso remoto MODBEACON

Nível de danos:

Faça uma verificação gratuita e verifique se o seu computador está infectado.

REMOVER AGORA

Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Que tipo de malware é o MODBEACON RAT?

O MODBEACON é um Trojan de Acesso Remoto (RAT) que permite a um operador remoto aceder secretamente a um computador Windows infetado, executar comandos e carregar plugins adicionais, mantendo-se oculto na memória.

De acordo com a investigação publicada pelo Qianxin Threat Intelligence Center, o MODBEACON é utilizado numa campanha que os investigadores chamam de "Operation Phnom Penh", conduzida por um agente de ameaça híbrido rastreado como Silver Fox, também referido como "Ghost Distributor".

Este grupo combina falsificação de software em larga escala com operações mais direcionadas, incluindo campanhas contra o setor de jogos de azar online do Camboja que utilizam iscos em língua khmer.

MODBEACON RAT

Mais sobre o MODBEACON

O MODBEACON está escrito em Rust e é executado inteiramente na memória em sistemas Windows de 64 bits, o que torna mais difícil para as ferramentas antivírus detetá-lo no disco. Uma vez ativo, comunica com o seu servidor de comando e controlo através de gRPC transportado sobre HTTP/2, e todo o canal está envolvido em encriptação TLS, semelhante ao tráfego web seguro normal.

Antes de receber ordens, o MODBEACON recolhe uma impressão digital do anfitrião, construindo um perfil da máquina em que aterrou, e autentica-se junto do servidor C2 com um token de agente longo. Isto permite que o operador confirme exatamente com que vítima está a comunicar e envie instruções destinadas a esse dispositivo específico.

Design baseado em plugins e comandos remotos

O MODBEACON não inclui todas as capacidades desde o início. Em vez disso, usa uma arquitetura baseada em plugins, e os seus operadores podem enviar módulos nativos adicionais para a memória, carregá-los e descarregá-los uma vez concluídos.

Isto mantém o trojan principal pequeno, ao mesmo tempo que permite a um atacante adicionar novas funções a pedido, tais como mais reconhecimento, acesso a ficheiros ou payloads adicionais. O malware também envia relatórios regulares de heartbeat e estado, informando o servidor C2 de que a máquina infetada está online e pronta para novos comandos.

Persistência e evasão de defesas

Para sobreviver a um reinício, o MODBEACON configura uma subscrição de eventos WMI que cria um objeto de temporizador oculto, juntamente com tarefas agendadas e um serviço do Windows, de modo que pelo menos um mecanismo reinicie o malware caso outro seja removido.

Também cria um mutex global para que apenas uma cópia de si mesmo seja executada de cada vez. No lado da rede, o MODBEACON disfarça o seu tráfego C2 usando uma camada de transporte modelada em ferramentas de proxy anticensura, fazendo com que o tráfego HTTP/2 e gRPC malicioso pareça semelhante ao tráfego encriptado legítimo e ajudando-o a escapar à deteção baseada em rede.

Resumo da Ameaça:
Nome Trojan de acesso remoto MODBEACON
Tipo De Ameaça Trojan de Acesso Remoto (RAT)
Nomes De Deteção Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Lista Completa (VirusTotal)
Sintomas Os Trojans de Acesso Remoto são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que não há sintomas específicos claramente visíveis numa máquina infetada.
Métodos De Distribuição Sites falsos, instaladores de software maliciosos.
Danos Palavras-passe e informações bancárias roubadas, roubo de identidade, o computador da vítima adicionado a uma botnet, infeções adicionais, perda monetária, sequestro de contas.
Domínios Falsificados Relacionados sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn
Remoção do Malware (Windows)

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.

Descarregar Combo Cleaner

O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Conclusão

O MODBEACON dá aos seus operadores acesso contínuo e oculto a um computador infetado, a capacidade de enviar novos plugins à vontade e um canal de rede concebido para iludir a monitorização de segurança. Os computadores infetados com este RAT correm o risco de sofrer payloads adicionais, roubo de dados e vigilância encoberta a longo prazo, pelo que deve ser removido assim que for detetado.

Mais exemplos de RATs são o RemotePE, o Navi e o Banana.

Como é que o MODBEACON RAT se infiltrou no meu computador?

De acordo com a investigação do Qianxin Threat Intelligence Center, o MODBEACON é propagado pelo grupo Silver Fox, também chamado "Ghost Distributor", usando campanhas de envenenamento de SEO que colocam páginas de download falsificadas de software popular do mercado chinês no topo dos resultados de pesquisa, para que as vítimas que procuram um programa legítimo acabem por aterrar num site falso.

As páginas falsificadas observadas fazem-se passar por uma vasta gama de ferramentas do quotidiano, incluindo o Sogou Input Method, aplicações VPN vendidas sob nomes como "闪连VPN" e "快喵VPN", a aplicação de mensagens Letstalk, o emulador Android MuMu, o utilitário de gestão iOS 爱思助手 (i4Tools) e até a ferramenta de sandboxing Sandboxie rotulada erradamente como um programa de tradução. Cada instalador entrega o MODBEACON em vez de, ou juntamente com, o software anunciado.

O mesmo agente executou separadamente campanhas contra o setor de jogo online do Camboja usando iscas de phishing em língua Khmer, mostrando que o grupo adapta a sua abordagem a diferentes grupos de vítimas. De forma mais ampla, ameaças como o MODBEACON também chegam às vítimas através de anexos de e-mail infetados, anúncios maliciosos e outros canais de download não fiáveis.

Como evitar a instalação de malware?

Descarregue sempre software diretamente do site oficial do fornecedor em vez de confiar nos resultados dos motores de busca, uma vez que as páginas envenenadas por SEO podem classificar-se acima da página de download real e parecer quase idênticas a esta. Tenha cuidado com anexos e links de e-mail inesperados, e verifique bem o nome de domínio de um site antes de descarregar qualquer coisa.

Mantenha o seu sistema operativo e aplicações atualizados, e confie numa ferramenta de segurança respeitável em vez de assumir que um programa é seguro apenas porque apareceu perto do topo de uma pesquisa. Se acredita que o seu computador já está infetado, recomendamos executar uma análise com o Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.

Sites falsos que distribuem instaladores maliciosos contendo o MODBEACON RAT:

Site falso do Sogou Input Method a distribuir o MODBEACON RAT Site falso da Lightning VPN a distribuir o MODBEACON RAT Site falso da Kuaimiao VPN a distribuir o MODBEACON RAT Site falso da Letstalk a distribuir o MODBEACON RAT Site falso de ferramenta de tradução a distribuir o MODBEACON RAT Site falso do emulador MuMu a distribuir o MODBEACON RAT Site falso da i4Tools a distribuir o MODBEACON RAT Site falso da Lightning VPN a distribuir o MODBEACON RAT Site falso da Kuaimiao VPN a distribuir o MODBEACON RAT Site falso da Kuaimiao VPN a distribuir o MODBEACON RAT Site falso da Lightning VPN a distribuir o MODBEACON RAT

Remoção automática instantânea do malware:

A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:

DESCARREGAR Combo Cleaner

Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Menu rápido:

Como remover malware manualmente?

A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que os programas antivírus ou anti-malware o façam automaticamente. Para remover este malware, recomendamos usar o Combo Cleaner Antivirus para Windows.

Se pretende remover o malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:

Processo de malware em execução no Gestor de Tarefas

Se verificou a lista de programas em execução no seu computador, por exemplo, usando o gestor de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:

remoção manual de malware passo 1Descarregue um programa chamado Autoruns. Este programa mostra aplicações de arranque automático, Registo e localizações do sistema de ficheiros:

Aparência da aplicação Autoruns

remoção manual de malware passo 2Reinicie o seu computador em Modo de Segurança:

Utilizadores do Windows XP e Windows 7: Inicie o seu computador em Modo de Segurança. Clique em Iniciar, clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de arranque do computador, prima a tecla F8 no seu teclado várias vezes até ver o menu de Opções Avançadas do Windows, e depois selecione Modo de Segurança com Rede na lista.

Executar o Windows 7 ou Windows XP em Modo de Segurança com Rede

Vídeo que mostra como iniciar o Windows 7 em "Modo de Segurança com Rede":

Utilizadores do Windows 8: Inicie o Windows 8 em Modo de Segurança com Rede - Vá para o Ecrã Inicial do Windows 8, escreva Avançado, nos resultados da pesquisa selecione Definições. Clique em Opções de arranque avançadas, na janela "Definições Gerais do PC" que se abre, selecione Arranque avançado.

Clique no botão "Reiniciar agora". O seu computador irá agora reiniciar no "menu de opções de Arranque Avançado". Clique no botão "Resolução de problemas", e depois clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".

Clique no botão "Reiniciar". O seu PC irá reiniciar no ecrã de Definições de Arranque. Prima F5 para arrancar em Modo de Segurança com Rede.

Executar o Windows 8 em Modo de Segurança com Rede

Vídeo que mostra como iniciar o Windows 8 em "Modo de Segurança com Rede":

Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone de Energia. No menu que se abre, clique em "Reiniciar" enquanto mantém premido o botão "Shift" no seu teclado. Na janela "escolha uma opção", clique em "Resolução de problemas", em seguida selecione "Opções avançadas".

No menu de opções avançadas, selecione "Definições de Arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar no botão "F5" no seu teclado. Isto irá reiniciar o seu sistema operativo em modo de segurança com rede.

Executar o Windows 10 em Modo de Segurança com Rede

Vídeo que mostra como iniciar o Windows 10 em "Modo de Segurança com Rede":

remoção manual de malware passo 3Extraia o arquivo descarregado e execute o ficheiro Autoruns.exe.

Extrair o arquivo Autoruns.zip e executar a aplicação Autoruns.exe

remoção manual de malware passo 4Na aplicação Autoruns, clique em "Opções" no topo e desmarque as opções "Ocultar Localizações Vazias" e "Ocultar Entradas do Windows". Após este procedimento, clique no ícone "Atualizar".

Atualizar os resultados da aplicação Autoruns

remoção manual de malware passo 5Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.

Deve anotar o seu caminho e nome completos. Note que algum malware oculta os nomes dos processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar remover ficheiros de sistema. Depois de localizar o programa suspeito que pretende remover, clique com o botão direito do rato sobre o seu nome e escolha "Eliminar".

Eliminar malware no Autoruns

Após remover o malware através da aplicação Autoruns (isto garante que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de ativar os ficheiros e pastas ocultos antes de prosseguir. Se encontrar o nome do ficheiro do malware, certifique-se de o remover.

Procurar o malware e eliminá-lo

Reinicie o seu computador em modo normal. Seguir estes passos deve remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer conhecimentos informáticos avançados. Se não possui estas competências, deixe a remoção de malware para os programas antivírus e anti-malware.

Estes passos podem não funcionar com infeções de malware avançadas. Como sempre, é melhor prevenir a infeção do que tentar remover o malware mais tarde. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e utilize software antivírus. Para ter a certeza de que o seu computador está livre de infeções de malware, recomendamos analisá-lo com o Combo Cleaner Antivirus para Windows.

Perguntas Frequentes (FAQ)

O meu computador está infetado com o malware MODBEACON RAT, devo formatar o meu dispositivo de armazenamento para me livrar dele?

A formatação irá remover o MODBEACON RAT, mas também apaga todos os ficheiros na unidade. Uma ferramenta de segurança respeitável como o Combo Cleaner deve normalmente ser experimentada primeiro.

Quais são os maiores problemas que o malware MODBEACON RAT pode causar?

O MODBEACON RAT pode dar aos atacantes acesso remoto contínuo ao seu computador e permitir-lhes carregar plugins maliciosos adicionais à vontade. Isto pode levar ao roubo de dados, infeções adicionais e vigilância encoberta a longo prazo.

Qual é o objetivo do malware MODBEACON RAT?

O objetivo do MODBEACON RAT é dar aos seus operadores acesso remoto encoberto e persistente a computadores Windows infetados, para que possam emitir comandos e carregar plugins adicionais evitando ao mesmo tempo a deteção.

Como é que o malware MODBEACON RAT se infiltrou no meu computador?

O MODBEACON RAT tem sido distribuído através de instaladores falsificados de software popular, tais como aplicações VPN, métodos de introdução, emuladores e ferramentas de gestão iOS, enviados para as vítimas através de resultados de pesquisa envenenados por SEO.

O Combo Cleaner irá proteger-me contra malware?

Sim. O Combo Cleaner pode detetar e remover a maioria do malware conhecido. Como ameaças como o MODBEACON RAT são concebidas para se ocultarem profundamente no sistema, recomenda-se executar uma análise completa do sistema para garantir que nada é omitido.

Partilhar:

facebook
X (Twitter)
linkedin
copiar link
Tomas Meskauskas

Tomas Meskauskas

Pesquisador especialista em segurança, analista profissional de malware

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.

▼ Mostrar comentários

O portal de segurança PCrisk é fornecido pela empresa RCS LT.

Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Doar