Comment supprimer KandyKorn de macOS
Écrit par Tomas Meskauskas le (mis à jour)
Quel type de maliciel est KandyKorn ?
Un maliciel macOS récemment découvert, appelé KandyKorn, a été trouvé dans une attaque liée au groupe de pirates nord-coréen Lazarus. Leurs cibles sont des ingénieurs en blockchain qui travaillent sur des plateformes d'échange de crypto-monnaies. Les attaquants prétendent faire partie de la communauté des crypto-monnaies sur Discord pour partager des modules Python, qui lancent ensuite un processus d'infection compliqué impliquant KandyKorn.
Aperçu du maliciel KandyKorn
KandyKorn est une charge utile hautement sophistiquée utilisée comme outil permettant aux acteurs de la menace d'infiltrer l'ordinateur compromis et d'en extraire des données. Fonctionnant secrètement en arrière-plan comme un démon, KandyKorn attend patiemment les commandes du serveur de commande et de contrôle (C2).
Ce maliciel polyvalent prend en charge diverses commandes, chacune adaptée à des objectifs multiples. Ces commandes permettent aux attaquants d'effectuer des actions allant de la collecte d'informations sur le système et de la liste du contenu des répertoires au téléchargement et à l'exfiltration de fichiers, à la suppression sécurisée de fichiers, à la gestion des processus en cours, à l'exécution de commandes système et même à l'ouverture d'une session shell interactive pour un contrôle plus direct.
Les conséquences auxquelles les victimes peuvent être confrontées du fait de ce maliciel polyvalent, capable d'exécuter un large éventail de commandes, sont multiples et peuvent être très préjudiciables.
La capacité de KandyKorn à recueillir des informations sur le système et à répertorier le contenu des répertoires permet aux attaquants d'acquérir une connaissance approfondie du système de la victime, ce qui peut conduire au vol de données sensibles, telles que les identifiants de connexion, les informations financières ou les fichiers propriétaires.
En téléchargeant et en exfiltrant des fichiers, les attaquants peuvent se livrer au vol de données, ce qui pourrait compromettre la propriété intellectuelle, entraîner des pertes financières ou des violations de données. La capacité du maliciel à supprimer des fichiers en toute sécurité suscite des inquiétudes chez les victimes, car il peut être utilisé pour effacer les traces de leurs activités, ce qui complique la tâche des professionnels de la cybersécurité lorsqu'il s'agit d'enquêter ou de récupérer les données perdues.
La gestion des processus en cours d'exécution peut perturber le fonctionnement du système de la victime et entraîner une instabilité ou une panne du système. En outre, l'exécution de commandes système et le lancement d'une session shell interactive donnent aux attaquants un contrôle important sur l'ordinateur de la victime, ce qui leur permet de mener diverses activités malicielles, telles que l'installation de logiciels malveillants supplémentaires, la modification des paramètres du système ou le lancement de cyberattaques.
Dans l'ensemble, les capacités étendues de KandyKorn créent un large éventail de conséquences potentielles pour les victimes, notamment des violations de données, des pertes financières, des perturbations du système et une atteinte importante à la vie privée.
Nom | Maliciel macOS KandyKorn |
Type de Menace | Maliciel Mac, Virus Mac |
Noms de Détection | Avast (MacOS:Agent-ACF [Trj]), Combo Cleaner (Gen:Variant.Trojan.MAC.Agent.5), ESET-NOD32 (OSX/NukeSped.AE), Kaspersky (HEUR:Backdoor.OSX.Agent.ao), Liste complète des détections (VirusTotal) |
Symptômes | Les applications malveillantes comme KandyKorn sont conçues pour s'infiltrer furtivement dans l'ordinateur de la victime et rester silencieuses, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée. |
Méthodes de Distribution | Discord, ingénierie sociale, fichiers ZIP trompeurs. |
Dommages | Perte monétaire, vol d'identité, infections supplémentaires, perte de données, perturbations du système, atteinte à la vie privée, etc. |
Suppression des maliciels (Mac) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre Mac avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Conclusion
En conclusion, KandyKorn est un maliciel macOS très sophistiqué associé au groupe de pirates Lazarus, conçu pour des attaques ciblées contre des ingénieurs blockchain et des plateformes d'échange de crypto-monnaies. Sa chaîne d'infection en plusieurs étapes, initiée par l'usurpation d'identité sur Discord, offre aux attaquants un large éventail de capacités, allant du vol de données et de la manipulation de fichiers à la perturbation du système et à l'exécution de commandes.
D'autres exemples de maliciels ciblant les utilisateurs de macOS sont MetaStealer, XLoader, et JokerSpy.
Comment KandyKorn s'est-il installé sur mon ordinateur ?
Le processus d'infection commence sur Discord avec une approche d'ingénierie sociale conçue pour inciter les cibles à télécharger une archive ZIP trompeuse nommée "Cross-platform Bridges.zip". Cette archive se fait passer pour un robot d'arbitrage légitime pour l'échange de crypto-monnaies.
Après avoir extrait le contenu de l'archive ZIP, un script Python appelé "Main.py" est lancé et importe 13 modules, dont "Watcher.py", un téléchargeur. Watcher.py décompresse et exécute "testSpeed.py" tout en obtenant "FinderTools" à partir d'une URL de Google Drive.
FinderTools sert de dropper, récupérant et exécutant un binaire obscurci nommé "SugarLoader". SugarLoader établit une connexion avec un serveur de commande et de contrôle (C2) et charge la charge utile finale, KandyKorn.
Comment éviter l'installation d'applications malveillantes ?
N'obtenez des logiciels et des fichiers qu'à partir de sources réputées (pages officielles et magasins d'applications), et méfiez-vous des pièces jointes et des liens contenus dans des courriels suspects provenant de sources inconnues. Évitez de cliquer sur des publicités pop-up ou de visiter des sites web potentiellement dangereux. Maintenez votre système d'exploitation, vos logiciels et vos programmes antivirus à jour.
Utilisez des logiciels antivirus fiables et ne téléchargez jamais de logiciels piratés ou d'outils conçus pour contourner l'activation des logiciels. Si votre ordinateur est déjà infecté, nous vous recommandons de lancer une analyse avec Combo Cleaner pour éliminer automatiquement toutes les menaces.
Suppression instantanée et automatique des maliciels sur Mac :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels recommandé pour supprimer les maliciels Mac. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner pour Mac
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
Vidéo montrant comment supprimer les publiciels et les pirates de navigateur d'un ordinateur Mac :
Suppression d'applications non désirées :
Supprimez les applications potentiellement indésirables de votre dossier "Applications" :
Cliquez sur l'icône du Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et mettez-les à la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables à l'origine des publicités en ligne, analysez votre Mac à la recherche de tout autre composant indésirable.
Foire Aux Questions (FAQ)
Mon ordinateur est infecté par le maliciel KandyKorn, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Le formatage de votre périphérique de stockage est une solution radicale et doit être considéré comme un dernier recours. Avant cela, essayez d'exécuter un logiciel de sécurité réputé comme Combo Cleaner pour analyser et supprimer le maliciel KandyKorn.
Quels sont les plus gros problèmes que les maliciels peuvent causer ?
Les maliciels peuvent causer des problèmes importants, notamment la perte de données, l'usurpation d'identité, la fraude financière et l'instabilité du système. Ils peuvent entraîner le vol d'informations personnelles et financières sensibles, ainsi que la perte de données essentielles. Les maliciels peuvent également endommager ou perturber les systèmes informatiques, en ralentissant les performances et en les rendant potentiellement inopérants. En outre, ils peuvent être utilisés comme outil pour des cyberattaques, telles que les attaques par déni de service distribué (DDoS).
Quel est l'objectif du maliciel KandyKorn ?
KandyKorn permet aux auteurs de menaces de recueillir des informations sensibles sur le système, de répertorier le contenu des répertoires, de télécharger et d'exfiltrer des fichiers, de supprimer des fichiers en toute sécurité, de gérer les processus en cours, d'exécuter des commandes système et de lancer des sessions shell interactives, ce qui leur permet d'exercer un contrôle étendu sur l'ordinateur de la victime.
Comment le maliciel KandyKorn s'est-il infiltré dans mon ordinateur ?
Le maliciel KandyKorn est diffusé par le biais d'une attaque d'ingénierie sociale Discord. Les victimes sont incitées à télécharger une archive ZIP trompeuse qui se présente comme un bot d'arbitrage de crypto-monnaie. Cette archive contient un script Python, "Main.py", qui déclenche une chaîne de processus, y compris l'exécution de "SugarLoader", établissant finalement une connexion avec un serveur de commande et de contrôle (C2) et chargeant KandyKorn en tant que charge utile finale.
Combo Cleaner me protège-t-il des maliciels ?
Combo Cleaner est capable de détecter et de supprimer presque tous les maliciels connus. Les maliciels sophistiqués se cachent souvent profondément dans le système. Il est donc essentiel d'effectuer une analyse complète du système.
▼ Montrer la discussion