Hoe verwijder ik KandyKorn van macOS
Geschreven door Tomas Meskauskas op
Wat voor soort malware is KandyKorn?
Een onlangs ontdekte macOS-malware genaamd KandyKorn is gevonden in een aanval die gelinkt is aan de Noord-Koreaanse Lazarus hackinggroep. Hun doelwitten zijn blockchain-engineers die werken met uitwisselingsplatforms voor cryptocurrency. De aanvallers doen alsof ze deel uitmaken van de cryptocurrency-community op Discord om Python-modules te delen, die vervolgens een ingewikkeld infectieproces met KandyKorn starten.
Overzicht KandyKorn malware
KandyKorn is een zeer geavanceerde payload voor het laatste stadium die wordt gebruikt als hulpmiddel waarmee bedreigingsactoren kunnen infiltreren en gegevens van de aangetaste computer kunnen halen. KandyKorn werkt heimelijk op de achtergrond als een daemon en wacht geduldig op commando's van de Command and Control (C2) server.
Deze veelzijdige malware ondersteunt verschillende commando's, elk op maat gemaakt voor meerdere doeleinden. Deze commando's stellen de aanvallers in staat om acties uit te voeren variërend van het verzamelen van systeeminformatie en het weergeven van de inhoud van mappen tot het uploaden en exfiltreren van bestanden, het veilig verwijderen van bestanden, het beheren van draaiende processen, het uitvoeren van systeemcommando's en zelfs het initiëren van een interactieve shellsessie voor meer controle.
De gevolgen die slachtoffers kunnen ondervinden van deze veelzijdige malware, die een breed scala aan commando's kan uitvoeren, zijn veelzijdig en kunnen zeer schadelijk zijn.
Doordat KandyKorn systeeminformatie kan verzamelen en een lijst kan maken van de inhoud van mappen, kunnen aanvallers diep inzicht krijgen in het systeem van het slachtoffer, wat kan leiden tot diefstal van gevoelige gegevens, zoals inloggegevens, financiële informatie of bedrijfseigen bestanden.
Door bestanden te uploaden en te exfiltreren kunnen aanvallers gegevens stelen, wat kan leiden tot aangetast intellectueel eigendom, financieel verlies of inbreuken op gegevens. De capaciteit van de malware om bestanden veilig te verwijderen, baart slachtoffers zorgen, omdat het kan worden gebruikt om hun sporen uit te wissen door bewijs van hun activiteiten te wissen, waardoor het voor cyberbeveiligingsprofessionals een uitdaging wordt om verloren gegevens te onderzoeken of te herstellen.
Het beheren van draaiende processen kan de werking van het systeem van het slachtoffer verstoren en mogelijk leiden tot instabiliteit van het systeem of crashes. Bovendien geven het uitvoeren van systeemcommando's en het initiëren van een interactieve shellsessie de aanvallers aanzienlijke controle over de computer van het slachtoffer, waardoor ze verschillende kwaadaardige activiteiten kunnen uitvoeren, zoals het installeren van extra malware, het wijzigen van systeeminstellingen of het lanceren van cyberaanvallen.
In het algemeen zorgen de uitgebreide mogelijkheden van KandyKorn voor een breed spectrum aan mogelijke gevolgen voor slachtoffers, waaronder datalekken, financiële verliezen, systeemstoringen en een aanzienlijke schending van de privacy.
Naam | KandyKorn macOS malware |
Type bedreiging | Mac-malware, Mac-virus |
Opsporingsnamen | Avast (MacOS:Agent-ACF [Trj]), Combo Cleaner (Gen:Variant.Trojan.MAC.Agent.5), ESET-NOD32 (OSX/NukeSped.AE), Kaspersky (HEUR:Backdoor.OSX.Agent.ao), Volledige lijst met detecties (VirusTotal) |
Symptomen | Kwaadaardige apps zoals KandyKorn zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
Distributiemethoden | Discord, Social engineering, Misleidende ZIP-bestanden. |
Schade | Geldverlies, identiteitsdiefstal, bijkomende infecties, gegevensverlies, systeemstoringen, inbreuk op de privacy en nog veel meer. |
Malware verwijderen (Mac) | Om mogelijke malware-infecties te verwijderen, scant u uw Mac met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Conclusie
KandyKorn is een zeer geavanceerde macOS-malware die in verband wordt gebracht met de Lazarus-hackinggroep en is ontworpen voor gerichte aanvallen op blockchain-engineers en uitwisselingsplatforms voor cryptocurrency. De infectieketen bestaat uit meerdere fasen en wordt geïnitieerd door zich voor te doen als Discord. Hierdoor beschikken aanvallers over een breed scala aan mogelijkheden, van gegevensdiefstal en bestandsmanipulatie tot systeemverstoring en het uitvoeren van opdrachten.
Meer voorbeelden van malware die gericht is op macOS-gebruikers zijn MetaStealer, XLoader, en JokerSpy.
Hoe is KandyKorn op mijn computer geïnstalleerd?
Het infectieproces begint op Discord met een social engineering-aanpak die is ontworpen om doelen te verleiden tot het downloaden van een misleidend ZIP-archief met de naam "Cross-platform Bridges.zip". Dit archief doet zich voor als een legitieme arbitragebot voor de handel in cryptocurrency.
Na het uitpakken van de inhoud van het ZIP-archief wordt een Python-script genaamd "Main.py" gestart, dat 13 modules importeert, waaronder "Watcher.py", een downloader. Watcher.py gaat verder met het uitpakken en uitvoeren van "testSpeed.py" terwijl het "FinderTools" verkrijgt van een Google Drive URL.
FinderTools dient als een dropper, die een gecodeerde binary genaamd "SugarLoader" ophaalt en uitvoert. SugarLoader maakt verbinding met een C2-server (Command and Control) en laadt de uiteindelijke payload, KandyKorn.
Hoe de installatie van schadelijke toepassingen vermijden?
Verkrijg software en bestanden alleen van gerenommeerde bronnen (officiële pagina's en applicatiewinkels) en wees op je hoede voor e-mailbijlagen en links in verdachte e-mails van onbekende bronnen. Klik niet op pop-upadvertenties en bezoek geen potentieel schadelijke websites. Houd je besturingssysteem, software en antivirusprogramma's up-to-date.
Gebruik betrouwbare antivirussoftware en download nooit illegale software of tools die zijn ontworpen om softwareactivering te omzeilen. Als je computer al geïnfecteerd is, raden we je aan een scan uit te voeren met Combo Cleaner om automatisch alle bedreigingen te elimineren.
Onmiddellijke automatische Mac malware verwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om Mac malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner voor Mac
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
Video die laat zien hoe je adware en browser hijackers verwijdert van een Mac-computer:
Ongewenste toepassingen verwijderen:
Verwijder potentieel ongewenste toepassingen uit je map "Toepassingen":
Klik op het pictogram Zoeker. Selecteer in het Finder-venster "Toepassingen". Zoek in de map Toepassingen naar "MPlayerX","NicePlayer" of andere verdachte toepassingen en sleep ze naar de Prullenbak. Nadat je de mogelijk ongewenste toepassing(en) die online advertenties veroorzaken hebt verwijderd, scan je je Mac op resterende ongewenste onderdelen.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met KandyKorn malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Je opslagapparaat formatteren is een drastische oplossing en moet worden beschouwd als een laatste redmiddel. Probeer voordat je dat doet eerst gerenommeerde beveiligingssoftware zoals Combo Cleaner uit te voeren om de KandyKorn-malware te scannen en verwijderen.
Wat zijn de grootste problemen die malware kan veroorzaken?
Malware kan aanzienlijke problemen veroorzaken, zoals gegevensverlies, identiteitsdiefstal, financiële fraude en instabiliteit van het systeem. Het kan leiden tot diefstal van gevoelige persoonlijke en financiële informatie en het verlies van kritieke gegevens. Malware kan ook computersystemen beschadigen of verstoren, de prestaties vertragen en ze mogelijk onbruikbaar maken. Bovendien kan het worden gebruikt als hulpmiddel voor cyberaanvallen, zoals DDoS-aanvallen (Distributed Denial of Service).
Wat is het doel van KandyKorn malware?
Met KandyKorn kunnen bedreigers gevoelige systeeminformatie verzamelen, een lijst maken van de inhoud van mappen, bestanden uploaden en exfiltreren, bestanden veilig verwijderen, lopende processen beheren, systeemcommando's uitvoeren en interactieve shellsessies starten, waardoor ze uitgebreide controle hebben over de computer van het slachtoffer.
Hoe is KandyKorn malware mijn computer binnengedrongen?
KandyKorn-malware wordt afgeleverd via een social engineering-aanval via Discord. Slachtoffers worden misleid tot het downloaden van een misleidend ZIP-archief dat zich voordoet als een cryptocurrency arbitrage bot. Dit archief bevat een Python-script, "Main.py", dat een keten van processen activeert, waaronder de uitvoering van "SugarLoader", waardoor uiteindelijk een verbinding tot stand wordt gebracht met een commando- en controleserver (C2) en KandyKorn als de uiteindelijke payload wordt geladen.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner kan bijna alle bekende malware-infecties detecteren en verwijderen. Geavanceerde malware verbergt zich vaak diep in het systeem. Daarom is het uitvoeren van een uitgebreide systeemscan essentieel.
▼ Toon discussie