Hoe KEYSTEAL trojan-type malware uit het besturingssysteem verwijderen
Geschreven door Tomas Meskauskas op
Wat is KEYSTEAL?
KEYSTEAL is de naam van een trojan die gericht is op macOS Keychain-gegevens. Deze malware komt op systemen terecht als een getrojaniseerde app genaamd ResignTool. Vanwege de gevoeligheid van de informatie die in de Mac Keychain is opgeslagen, vormt deze malware een aanzienlijke bedreiging voor de privacy van gebruikers.
KEYSTEAL malware overzicht
De variant van KEYSTEAL die wij analyseerden werd geïnstalleerd door een kwaadaardig installatieprogramma dat beweerde de ResignTool-toepassing te dragen. Na de installatie behield de malware deze vermomming. Het is echter meer dan een combinatie van hetzelfde app-pictogram en dezelfde naam; het is een gewijzigde ("getrojaniseerde") versie van ResignTool.
ResignTool is ontworpen om de ondertekeningsinformatie op IPA formaat archiefbestanden gebruikt op iOS te wijzigen. Deze toepassing is gratis, maar niet beschikbaar in de App Store van Apple. Daarom kan dit programma alleen worden verkregen via open-source projecthosting en platforms voor het delen van bestanden - wat cybercriminelen de mogelijkheid biedt ResignTool te trojaniseren en de schadelijke versies ervan te verspreiden.
KEYSTEAL-malware richt zich op sleutelhangerinformatie. Het wachtwoordbeheersysteem van macOS, Keychain genaamd, kan een verscheidenheid aan kwetsbare gegevens opslaan, waaronder gebruikersnamen/wachtwoorden, privésleutels, digitale certificaten, beveiligde notities en andere gevoelige informatie.
Deze trojan verkrijgt ook het wachtwoord van het gebruikersaccount door een pop-up weer te geven waarin om deze informatie wordt gevraagd nadat de installatie is voltooid.
Het is opmerkelijk dat zodra KEYSTEAL zijn schadelijke activiteiten beëindigt, het de oorspronkelijke routine van ResignTool uitvoert - en zo zijn sporen uitwist.
Kortom, KEYSTEAL-infecties kunnen leiden tot ernstige privacyproblemen, financiële verliezen en zelfs identiteitsdiefstal.
| Naam | KEYSTEAL malware |
| Type bedreiging | Mac malware, Mac virus, Trojan, password-stealing virus. |
| Detectienamen (installer) | Avast (MacOS:KCSteal-A [Trj]), Kaspersky (UDS:Trojan-PSW.OSX.KCSteal), Lionic (Trojan.OSX.KCSteal.4!c), Symantec (OSX.Trojan.Gen), volledige lijst van detecties (VirusTotal) |
| Detectienamen (app) | Kaspersky (HEUR:Trojan-PSW.OSX.KCSteal.gen), ZoneAlarm by Check Point (HEUR:Trojan-PSW.OSX.KCSteal.gen), volledige lijst van detecties (VirusTotal) |
| Symptomen | Trojans zijn ontworpen om stiekem te infiltreren in de computer van het slachtoffer en stil te blijven, zodat er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Verspreidingsmethodes | Gratis software-installaties (bundeling), geïnfecteerde e-mailbijlagen, websites met "crack"-software, social engineering, valse Flash Player-installaties, misleidende pop-upadvertenties. |
| Extra informatie | KEYSTEAL kan systeem infiltreren als een getrojaniseerde ResignTool app. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal. |
| Malware verwijderen (Mac) | Om mogelijke malware-infecties te verwijderen, scant u uw Mac met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Mac malware voorbeelden
Wij hebben talloze malwaresamples geanalyseerd; GIMMICK, UpdateAgent, SysJoker, DazzleSpy en NUKESPED zijn enkele voorbeelden van malware die gericht is op besturingssystemen voor de Mac.
Kwaadaardige software kan een grote verscheidenheid aan functies hebben, en deze functies kunnen in verschillende combinaties voorkomen. Maar ongeacht of een kwaadaardig programma informatie steelt, gegevens versleutelt, cryptocurrency minet of andere activiteiten uitvoert - de aanwezigheid ervan op een systeem brengt de integriteit van het apparaat en de veiligheid van de gebruiker in gevaar. Daarom raden wij ten zeerste aan om alle bedreigingen onmiddellijk na ontdekking te verwijderen.
Hoe is KEYSTEAL in mijn computer geïnfiltreerd?
Aangezien KEYSTEAL systemen infiltreert als een getrojaniseerde ResignTool toepassing, kan het zijn dat zijn verspreidingsmethodes gericht zijn op gebruikers die deze specifieke app zoeken om te downloaden. Hoewel ResignTool gratis is, is het niet beschikbaar in de officiële winkel van Apple - vandaar dat het alleen kan worden verkregen van open-source project platforms, gratis file-hosting websites, freeware pagina's en soortgelijke kanalen.
Het is echter net zo goed mogelijk dat het gebruik van ResignTool een handige manier is om de argwaan van gebruikers te verminderen, aangezien hun onmiddellijke zoekopdrachten naar informatie hierover zouden leiden tot een beschrijving van de legitieme software. Het kan dus zijn dat de KEYSTEAL trojan verspreid wordt via verschillende technieken.
Over het algemeen wordt malware verspreid door gebruik te maken van phishing en social engineering tactieken. Virusbestanden kunnen in verschillende formaten zijn (bijv. archieven, executables, documenten, enz.) en infecteren apparaten wanneer ze worden geopend.
De meest gebruikte verspreidingsmethoden voor malware zijn: drive-by (stealthy/deceptieve) downloads, dubieuze downloadbronnen (bv. freeware en websites met gratis bestandshosting, Peer-to-Peer sharing-netwerken, enz.), online oplichting, schadelijke bijlagen en links in spam-e-mails/berichten, malvertising, illegale softwareactivering ("cracking") en valse updates.
Hoe vermijdt u de installatie van malware?
Wij raden ten zeerste aan alleen te downloaden van officiële en geverifieerde bronnen. Het is net zo belangrijk om software te activeren en bij te werken met legitieme tools, aangezien illegale activeringstools ("cracks") en updaters van derden malware kunnen bevatten.
Wij adviseren voorzichtigheid bij het surfen, omdat frauduleuze en gevaarlijke online-inhoud meestal legitiem en ongevaarlijk lijkt. Een andere aanbeveling is om waakzaam te zijn met inkomende e-mails, DM's/PM's en andere berichten. De bijlagen en links in verdachte/irrelevante e-mails mogen niet worden geopend, omdat ze kwaadaardig kunnen zijn en infecties kunnen veroorzaken.
Wij benadrukken het belang van het installeren en up-to-date houden van een goede antivirus. Beveiligingsprogramma's moeten worden gebruikt om regelmatig systeemscans uit te voeren en bedreigingen en problemen te verwijderen. Als uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner om de bedreigingen automatisch te verwijderen.
KEYSTEAL trojan installatie setup:
Pop-up (gericht op gebruikerswachtwoorden) getoond na installatie van KEYSTEAL trojan:
Verschijning van KEYSTEAL trojan vermomd als de ResignTool toepassing:
Onmiddellijke automatische Mac malware verwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om Mac malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner voor Mac
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is "KEYSTEAL"?
- STAP 1. Verwijder PUA gerelateerde bestanden en mappen van OSX.
- STAP 2. Verwijder malafide extensies uit Safari.
- STAP 3. Verwijder malafide add-ons uit Google Chrome.
- STAP 4. Verwijder mogelijk ongewenste plug-ins uit Mozilla Firefox.
Video die laat zien hoe u adware en browserkapers van een Mac-computer verwijdert:
Mogelijk ongewenste toepassingen verwijderen:
Verwijder mogelijk ongewenste toepassingen uit uw map "Toepassingen":
Klik op het Finder-pictogram. Selecteer in het Finder-venster "Toepassingen". Zoek in de map Toepassingen naar "MPlayerX","NicePlayer" of andere verdachte toepassingen en sleep ze naar de Prullenbak. Na het verwijderen van de mogelijk ongewenste toepassing(en) die online advertenties veroorzaken, scant u uw Mac op eventuele resterende ongewenste onderdelen.
Verwijder aan de keysteal malware gerelateerde bestanden en mappen:
Klik op het Finder icoon, vanuit de menubalk kies je Ga en klik je op Ga naar map...
Controleer of er zich door de adware aangemaakte bestanden bevinden in de map /Library/LaunchAgents folder:
In de Ga naar map...-balk typ je: /Library/LaunchAgents
In de map “LaunchAgents” zoek je naar recent toegevoegde verdachte bestanden en je verplaatst deze naar de prullenbak. Voorbeelden van bestanden aangemaakt door adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, enz. Adware installeert vaak bestanden met hetzelfde bestandsnaampatroon.
Controleer of er zich door adware aangemaakte bestanden bevinden in de map /Library/Application Support:
In de Ga naar map...-balk typ je: /Library/Application Support
In de map “Application Support” zoek je naar recent toegevoegde verdachte mappen. Bijvoorbeeld “MplayerX” or “NicePlayer”, en je verplaatst deze mappen naar de prullenbak.
Controleer of er zich door adware aangemaakte bestanden bevinden in de map ~/Library/LaunchAgents:
In de Ga naar map...-balk typ je: ~/Library/LaunchAgents
In de map “LaunchAgents” zoek je naar recent toegevoegde verdachte bestanden en je verplaatst deze naar de prullenbak. Voorbeelden van bestanden aangemaakt door adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, enz. Adware installeert vaak verschillende bestanden met hetzelfde bestandsnaampatroon.
Controleer of er zich door adware aangemaakte bestanden bevinden in de map /Library/LaunchDaemons:
In de Ga naar map...-balk typ je: /Library/LaunchDaemons
In de map “LaunchDaemons” zoek je naar recent toegevoegde verdachte bestanden. Voorbeelden zijn: “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., en je verplaatst deze naar de prullenbak.
Scan uw Mac met Combo Cleaner:
Als u alle stappen in de juiste volgorde hebt gevolgd dan zou uw Mac nu helemaal virus- en malwarevrij moeten zijn. Om zeker te weten of uw systeem niet langer besmet is voert u best een scan uit met Combo Cleaner Antivirus. Download dit programma HIER. Na het downloaden van het bestand moet u dubbelklikken op het combocleaner.dmg installatiebestand, in het geopende venster sleept u het Combo Cleaner-icoon naar het Applicaties-icoon. Nu opent u launchpad en klikt u op het Combo Cleaner-icoon. Wacht tot Combo Cleaner de virusdefinities heeft bijgewerkt en klik vervolgens op de knop 'Start Combo Scan'.
Combo Cleaner zal uw Mac scannen op malwarebesmettingen. Als de scan meldt 'geen bedreigingen gevonden' - dan betekent dit dat u verder de verwijderingsgids kunt volgen. In het andere geval is het aanbevolen alle gevonden besmettingen te verwijderen voor u verder gaat.
Na het verwijderen van bestanden en mappen die werden aangemaakt door deze adware ga je verder met het verwijderen van frauduleuze extensies uit je internetbrowsers.
KEYSTEAL malware verwijderen uit de internetbrowsers:
Kwaadaardige extensies verwijderen uit Safari:
Verwijder aan keysteal malware gerelateerde Safari extensies:
Open de Safari-browser, vanuit de menubalk selecteer je "Safari" en klik je op "Voorkeuren...".
In het scherm met de voorkeuren selecteer je "Extensies" en zoek je naar recent geïnstalleerde verdachte extensies. Als je die gevonden hebt klik je op de "Verwijderen"-knop er net naast. Merk op dat je veilig alle extensies kunt verwijderen uit de Safari-browser, ze zijn niet noodzakelijk voor een goede werking van de browser.
- Als je problemen blijft hebben met browser doorverwijzingen en ongewenste advertenties lees je hier hoe Safari te resetten.
Kwaadaardige plug-ins verwijderen uit Mozilla Firefox:
Verwijder aan keysteal malware gerelateerde Mozilla Firefox add-ons:
Open je Mozilla Firefox-browser. In de rechterbovenhoek van het scherm klik je op de "Menu openen"-knop (met de drie horizontale lijnen). Uit het geopende menu selecteer je "Add-ons".
Kies het tabblad "Extensies" en zoek naar recent geïnstalleerde verdachte add-ons. Eens gevonden klik je op de "Verwijderen"-knop er net naast. Merk op dat je veilig alle extensies uit je Mozilla Firefox-browser kunt verwijderen - ze zijn niet noodzakelijk voor de goede werking van de browser.
- Als je problemen blijft ervaren met browser doorverwijzingen en ongewenste advertenties kun je ook Mozilla Firefox resetten.
Kwaadaardige extensies verwijderen uit Google Chrome:
Verwijder aan keysteal malware gerelateerde Google Chrome add-ons:
Open Google Chrome en klik op de "Chrome menu"-knop (drie horizontale lijnen) gesitueerd in de rechterbovenhoek van het browserscherm. In het uitklapmenu selecteer je "Meer tools" en vervolgens "Extensies".
In het scherm "Extensies" zoek je naar recent geïnstalleerde verdachte add-ons. Als je die gevonden hebt klik je op de "Prullenbak"-knop er net naast. Merk op dat je veilig alle extensies uit je Google Chrome-browser kunt verwijderen. Ze zijn niet noodzakelijk voor een goede werking van de browser.
- Als je problemen blijft ervaren met browser doorverwijzingen en ongewenste advertenties kun je ook Google Chrome resetten.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met KEYSTEAL-malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Nee, voor het verwijderen van KEYSTEAL is formatteren niet nodig.
Wat zijn de grootste problemen die KEYSTEAL-malware kan veroorzaken?
De bedreigingen van een infectie zijn afhankelijk van de functies van het schadelijke programma en de doelen van de cybercriminelen. KEYSTEAL richt zich op macOS Keychain-gegevens (bijv. wachtwoorden, privésleutels, certificaten, enz.) - vandaar dat deze infecties kunnen leiden tot ernstige privacyproblemen, financiële verliezen en zelfs identiteitsdiefstal.
Wat is het doel van KEYSTEAL-malware?
Hoewel malware op verschillende manieren werkt, wordt het voornamelijk gebruikt om inkomsten te genereren. Cybercriminelen kunnen deze software echter ook gebruiken voor hun eigen amusement of om persoonlijke wraakacties uit te voeren, processen te verstoren (bijv. websites, diensten, enz.) en zelfs politiek/geopolitiek gemotiveerde aanvallen te lanceren.
Hoe is KEYSTEAL-malware in mijn computer geïnfiltreerd?
Malware wordt meestal verspreid via drive-by downloads, spam e-mails en berichten, online scams, onbetrouwbare downloadbronnen (bijv. freeware en gratis file-hosting websites, Peer-to-Peer sharing netwerken, enz.), illegale software activatie tools ("cracks"), valse updates en malvertising. Sommige kwaadaardige programma's zijn zelfs in staat zichzelf te verspreiden via lokale netwerken en verwijderbare opslagapparaten (bijv. USB-sticks, externe harde schijven, enz.).
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner is ontworpen om bedreigingen te detecteren en te verwijderen. Het kan vrijwel alle bekende malware-infecties verwijderen. Vergeet niet dat geavanceerde kwaadaardige software zich meestal diep in systemen verstopt - daarom is het uitvoeren van een volledige systeemscan van het grootste belang voor de detectie ervan.
Uitmuntend!
▼ Toon discussie