Hoe de SugarGh0st-trojan voor externe toegang te verwijderen
Geschreven door Tomas Meskauskas op (bijgewerkt)
Wat voor soort malware is SugarGh0st?
De SugarGh0st-malware is een Trojan voor externe toegang (RAT). Het zorgt voor toegang op afstand en controle over geïnfecteerde machines. Het is zeer waarschijnlijk dat SugarGh0st is gebaseerd op de Gh0st RAT.
Dit schadelijke programma is gebruikt in meerdere campagnes, mogelijk al vanaf augustus 2023. Deze aanvallen waren gericht tegen gebruikers in Zuid-Korea en overheidsmedewerkers in Oezbekistan. Er is enig bewijs dat suggereert dat de dreigingsactoren achter deze campagnes Chineestalig zijn, maar deze vaststelling is niet definitief.
SugarGh0st malware overzicht
Er zijn twee verschillende infectieketens waargenomen in SugarGh0st-aanvallen; beide maakten gebruik van LNK-bestanden (Windows Shortcut). Na een succesvolle infiltratie start deze trojan met het verzamelen van relevante apparaatgegevens, zoals apparaatnaam, OS-versie, registersleutel, lopende processen, etc.
Zoals vermeld in de inleiding, is SugarGh0st ontworpen om externe toegang/controle over apparaten mogelijk te maken. Deze RAT is een stukje geavanceerde kwaadaardige software - het heeft backdoor-mogelijkheden en kan verschillende commando's uitvoeren op aangetaste systemen.
Om een aantal van zijn functies uit te leggen: deze malware is in staat om zijn privileges te verhogen. Het kan bestanden beheren, d.w.z. zoeken, lezen, verplaatsen, kopiëren, downloaden (exfiltreren) en verwijderen. De trojan kan ook kwaadaardige code verkrijgen van zijn C&C (Command and Control) server voor extra functionaliteit.
SugarGh0st kan actieve processen beëindigen. Het maken van schermafbeeldingen, keylogging (het opnemen van toetsaanslagen), virtuele muis (muismanipulatie) en video-opname via geïntegreerde/aangekoppelde camera's behoren ook tot de mogelijkheden van de RAT.
De eerder genoemde functionaliteiten waren al aanwezig in Gh0st RAT - de vermoedelijke voorganger van SugarGh0st. Nieuwe functies zijn onder andere geavanceerde anti-detectiemaatregelen. Deze trojan kan bibliotheekbestanden downloaden zoals geselecteerd door extensie en functienaam. Het zoekt ook naar specifieke ODBC-registersleutels (Open Database Connectivity).
Het is relevant om te vermelden dat malware-ontwikkelaars hun software en methodologieën vaak verbeteren; daarom kunnen mogelijke toekomstige versies van SugarGh0st extra mogelijkheden of andere functies hebben.
Samengevat kan de aanwezigheid van kwaadaardige software zoals SugarGh0st op apparaten leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal. Er moet worden vermeld dat aanvallen op zeer gevoelige doelen (zoals apparaten die essentiële diensten leveren) nog grotere risico's met zich meebrengen.
Naam | SugarGh0st remote access trojan |
Type bedreiging | Trojan, RAT, Remote Access Trojan, wachtwoordstelend virus, banking malware, spyware. |
Detectienamen | Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.69401344), ESET-NOD32 (Win32/Agent.AFVD), Kaspersky (HEUR:Trojan.Win32.Loader.gen), Microsoft (Trojan:Win32/Phonzy.A!ml), volledige lijst van detecties (VirusTotal) |
Symptomen | Trojans zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en zich stil te houden, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, softwarekrakers. |
Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Remote access trojan voorbeelden
NineRAT, DLRAT, Millenium, ZenRAT en ValleyRAT zijn slechts enkele voorbeelden van RAT's waarover we onlangs hebben geschreven. Hoewel deze trojans zeer veelzijdig zijn, kunnen sommige zijn gemaakt voor ongelooflijk specifieke doeleinden.
Ongeacht of een stuk malware beperkt inzetbaar of breed toepasbaar is - de aanwezigheid van deze software op een systeem bedreigt de integriteit van het apparaat en de veiligheid van de gebruiker. Het is essentieel om bedreigingen onmiddellijk na ontdekking te verwijderen.
Hoe is SugarGh0st in mijn computer geïnfiltreerd?
In de waargenomen SugarGh0st-infecties krijgt het slachtoffer na het openen van het initiële schadelijke bestand een vervalst document te zien. Bekende voorbeelden in het Koreaans zijn: een bestand met inhoud gekopieerd van CoinDesk Korea - een online nieuwsbron over cryptocurrency en digitale activa, IT-onderhoudsinstructies voor werknemers en een bericht over het aanmaken van een Microsoft-account met behulp van een gerandomiseerd wachtwoord.
Een ander lokbestand was gericht op personen die verbonden zijn aan het Ministerie van Buitenlandse Zaken van Oezbekistan; het document bevatte gedetailleerde plannen voor verbeteringen van de staatsadministratie en technische regelgeving zoals opgelegd door een presidentieel decreet.
Het is zeer waarschijnlijk dat de besmettelijke bestanden (die de lokbestanden weergeven) werden verspreid via e-mailspamcampagnes. Er moet worden vermeld dat andere lokbestanden of distributiemethoden niet onwaarschijnlijk zijn.
Spam wordt veel gebruikt bij de distributie van malware. Naast e-mails worden PM's/DM's, sms'jes, berichten op sociale media/forums en andere communicatiemiddelen voor dit doel gebruikt.
Andere populaire verspreidingstechnieken zijn drive-by (stiekeme/bedrieglijke) downloads, online scams, malvertising, onbetrouwbare downloadkanalen (bijv. onofficiële en gratis file-hosting sites, P2P sharing netwerken, etc.), illegale inhoud, illegale software activeringstools ("cracks") en valse updates.
Bovendien kunnen sommige kwaadaardige programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Malware is meestal vermomd als of gebundeld met gewone software/mediabestanden. Ze zijn er in verschillende formaten, bijv. archieven (ZIP, RAR, enz.), uitvoerbare bestanden (.exe, .run, enz.), documenten (Microsoft Office, Microsoft OneNote, PDF, enz.), JavaScript, enz. Eenmaal geopend, start een kwaadaardig bestand de download-/installatieketen van malware.
Hoe vermijdt u de installatie van malware?
We raden u ten zeerste aan om inkomende e-mails en andere berichten met de nodige voorzichtigheid te benaderen. Bijlagen of links in dubieuze/irrelevante e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn. Het is belangrijk om Microsoft Office-versies van na 2010 te gebruiken, omdat de modus "Beschermde weergave" automatische uitvoering van macroopdrachten voorkomt.
Verder moeten alle downloads afkomstig zijn van officiële en geverifieerde bronnen. We raden aan om programma's te activeren en bij te werken met legitieme functies/tools, omdat die van derden malware kunnen bevatten.
We raden u ook aan om voorzichtig te zijn tijdens het browsen, omdat frauduleuze en kwaadaardige online inhoud meestal echt en onschuldig lijkt.
We moeten benadrukken hoe belangrijk het is om een goede antivirus te installeren en up-to-date te houden. Beveiligingssoftware moet worden gebruikt om regelmatig systeemscans uit te voeren en om gedetecteerde bedreigingen en problemen te verwijderen. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Schermafbeeldingen van de decoy-documenten die zijn gedownload en geopend tijdens de injectie van SugarGh0st-malware:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is SugarGh0st?
- STAP 1. Handmatige verwijdering van SugarGh0st malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijdert u malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen raden we u aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker wordt uitgevoerd:
Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:
Herstart uw computer in de Veilige modus:
Windows XP en Windows 7 gebruikers: Start uw computer op in Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die laat zien hoe u Windows 7 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 8 gebruikers: Windows 8 opstarten in Veilige modus met netwerkmogelijkheden - Ga naar het Windows 8 Startscherm, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer start nu opnieuw op in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Uw pc zal opnieuw opstarten in het scherm met de opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het aan/uit-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de toets "Shift" op uw toetsenbord ingedrukt houdt. Klik in het venster "Een optie kiezen" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u klikken op de knop "F5" op uw toetsenbord. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de Veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 opstart in "Veilige modus met netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.
Klik in de Autoruns-toepassing op "Opties" bovenaan en schakel de opties "Lege locaties verbergen" en "Windows invoer verbergen" uit. Klik na deze procedure op het pictogram "Vernieuwen".
Bekijk de lijst die wordt geleverd door de Autoruns-toepassing en zoek het malwarebestand dat u wilt verwijderen.
U moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".
Nadat u de malware hebt verwijderd via de toepassing Autoruns (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende keer opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.
Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, wordt alle malware van uw computer verwijderd. Houd er rekening mee dat voor het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist zijn. Als je deze vaardigheden niet hebt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om een infectie te voorkomen dan om malware later te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste besturingssysteemupdates en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties raden we u aan deze te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met SugarGh0st malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Formatteren is zelden nodig bij het verwijderen van schadelijke programma's.
Wat zijn de grootste problemen die SugarGh0st malware kan veroorzaken?
De gevaren van een infectie hangen af van de functionaliteiten van de malware en de modus operandi van de cybercriminelen. SugarGh0st RAT is ontworpen om externe toegang/controle over aangetaste machines mogelijk te maken. Het heeft een breed scala aan mogelijkheden, variërend van functies die gericht zijn op het bevorderen van de infectie tot geavanceerde gegevensdiefstal.
In het algemeen kunnen infecties met een hoog risico leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal. Aanvallen gericht tegen zeer gevoelige doelen vormen een grotere bedreiging.
Wat is het doel van SugarGh0st-malware?
Malware wordt voornamelijk gebruikt om inkomsten te genereren, maar dat is niet de enige reden achter dergelijke aanvallen. Cybercriminelen kunnen kwaadaardige software ook gebruiken om zichzelf te amuseren, persoonlijke wraakgevoelens uit te voeren, processen te verstoren (bijv. websites, diensten, organisaties, enz.), deel te nemen aan hacktivisme en zelfs politiek/geopolitiek gemotiveerde aanvallen te lanceren.
Er zijn enkele artefacten die suggereren dat SugarGh0st wordt gebruikt door Chinees sprekende aanvallers. Deze RAT is aangetroffen in campagnes gericht op Koreaanse gebruikers en personen die in verband worden gebracht met het Ministerie van Buitenlandse Zaken van Oezbekistan. Deze aanvallen, met name de laatste, zouden op één lijn kunnen liggen met Chinese belangen.
Hoe is SugarGh0st malware mijn computer binnengedrongen?
Gebaseerd op de lokdocumenten die worden weergegeven bij het openen van schadelijke bestanden die zijn ontworpen om SugarGh0st-infecties te activeren, is het waarschijnlijk dat deze malware wordt verspreid via e-mail-spamcampagnes. Houd er rekening mee dat andere lokmiddelen en distributietechnieken mogelijk zijn.
Naast spammail wordt malware vaak verspreid via drive-by downloads, online zwendel, malvertising, dubieuze downloadbronnen (bijv. freeware en websites van derden, P2P-sharingnetwerken, enz.), illegale programmaactiveringstools ("cracking") en nepupdates. Sommige schadelijke programma's kunnen zichzelf zelfs verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan praktisch alle bekende malware-infecties detecteren en verwijderen. Het moet worden benadrukt dat aangezien geavanceerde kwaadaardige software zich meestal diep in systemen verstopt - het uitvoeren van een volledige systeemscan cruciaal is.
▼ Toon discussie