Comment éviter l'installation de AppleJeus à travers JMT Trader ?
Écrit par Tomas Meskauskas le (mis à jour)
Comment supprimer AppleJeus d'un Mac ?
Qu'est-ce que AppleJeus ?
AppleJeus est le nom d'un logiciel malveillant qui est distribué par le groupe Lazarus, ils ont distribué ce logiciel malveillant par le biais d'une fausse application qui a été déguisée en application de trading de cryptomonnaie nommée Celas Trade Pro. Il y a une nouvelle application de trading de cryptomonnaie trojanisée appelée JMT Trader qui fonctionne de manière très similaire - elle installe le cheval de Troie AppleJeus backdoor sur l'ordinateur d'une victime. JMT Trader peut être installé sur les ordinateurs Windows et MacOS.
Pour promouvoir l'application JMT Traded, les cybercriminels ont créé un site Web prétendument officiel et un compte Twitter. Les personnes qui tentent de télécharger JMT Trader sont redirigées vers GitHub, les exécutables Mac et Windows pour JMT Trader y sont stockés. Ce logiciel est déguisé en une application tout à fait légitime qui est censée permettre à ses utilisateurs d'échanger de la cryptomonnaie sur différentes plateformes. Une fois installé, JMT Trader infecte un ordinateur avec un cheval de Troie de porte dérobée nommé AppleJeus sous le nom de CrashReporter. Afin de lancer CrashReporter à chaque connexion, JMT Trader crée une tâche planifiée appelée JMTCrashReporter. Une fois lancé, CrashReporter communique avec un serveur Command & Control pour recevoir et exécuter des commandes. Il peut se terminer tout seul, télécharger et exécuter des fichiers depuis le serveur Command & Control, exécuter des commandes à travers un shell qui donnerait aux cybercriminels un contrôle complet sur le système infecté. Le processus CrashReporter fonctionne sous le même nom sur les systèmes d'exploitation Windows et MacOS, ce processus est séparé du JMT Trader, ce qui signifie qu'il s'exécute en arrière-plan même si ce logiciel n'est pas lancé. En outre, CrashReporter en tant que démon, un processus en arrière-plan qui s'exécute sans aucune interface visible. Gardez à l'esprit que l'élimination de JMT Trader ne supprimera pas les logiciels malveillants AppleJeus (CrashReporter), c'est pourquoi vous devez analyser le système avec une suite antivirus/anti-logiciel espion reconnue (par exemple, Combo Cleaner) pour éliminer tous les restes.
Pour déguiser Celas Trade Pro en une application commerciale légitime, les cybercriminels ont non seulement créé un site Web, mais ont aussi monté une entreprise entière. JMT Trader a également un site Web de téléchargement et un compte Twitter, les deux semblent légitimes. En outre, JMT Trader est un clone d'un logiciel légitime appelé QT Bitcoin Trader. Les noms (JMT Trader et Celas Trade Pro) semblent être les noms de programmes légitimes (et d'entreprises), c'est pourquoi les gens sont souvent amenés à télécharger et installer ces programmes. Le cheval de Troie backdoor AppleJeus qui s'installe via ces applications peut être utilisé pour installer des logiciels malveillants supplémentaires (comme des logiciels de rançon), voler des informations confidentielles (mots de passe, connexions de différents comptes), faire des captures d'écran, etc. Pour éviter les pertes de données, les pertes financières, le vol d'identité, les problèmes de confidentialité, etc., nous recommandons de supprimer JMT Trader et tous les fichiers liés à CrashReporter dès que possible. Nous avons fourni ci-dessous les emplacements des fichiers malveillants.
| Nom | Application clandestine AppleJeus |
| Type de Menace | Backdoor (porte dérobée), cheval de Troie, logiciel malveillant Mac, virus Mac |
| Noms de Détection (Installateur JMT Trader) | ALYac (Trojan.OSX.Agent.39168L), GData (Generic.Trojan.Agent.UXGSUS), Ikarus (Trojan.Win32.Casdet), Kaspersky (Backdoor.OSX.Agent.s), Liste complète (VirusTotal) |
| Nom de Détection (CrashReporter sur Mac) | BitDefender (Trojan.MAC.Agent.DU), DrWeb (Mac.Trojan.Siggen.1), ESET-NOD32 (OSX/NukeSped.B), Kaspersky (HEUR:Backdoor.OSX.Agent.s), Liste complète (VirusTotal) |
| Symptômes | Les chevaux de Troie sont conçus pour infiltrer furtivement l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée. |
| Méthodes de Distribution | Soi-disant compte Twitter et site web officiels, faux installateurs de lecteur flash, téléchargements de fichiers torrent, outils de piratage de logiciels. |
| Dommages | Renseignements bancaires volés, mots de passe, vol d'identité, ordinateur de la victime ajouté à un botnet, installation de logiciels malveillants supplémentaires. |
| Informations Additionelles | Ce logiciel malveillant cible à la fois les utilisateurs de Windows et de MacOS. JMT Trader extrait un programme malveillant secondaire (CrashReporter.exe) qui fonctionne comme une porte dérobée. |
| Suppression | Pour éliminer d'éventuelles infections par des maliciels, analysez votre Mac avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
L'Internet est plein de divers chevaux de Troie, quelques exemples sont Casbaneiro, Bolik et Kryptik. Généralement, les programmes de ce type sont conçus pour répandre d'autres logiciels malveillants. Quoi qu'il en soit, les personnes dont l'ordinateur est infecté par des programmes de ce type subissent des pertes de données, des pertes financières, des vols d'identité ou d'autres problèmes. Des conseils sur la façon d'éviter d'être piégé pour installer divers logiciels malveillants sont fournis dans le dernier paragraphe.
Comment les applications potentiellement indésirables se sont-elles installées sur mon ordinateur ?
Les cybercriminels font proliférer les logiciels malveillants AppleJeus par le biais d'un faux logiciel d'échange de devises cryptographiques (JMT Trader) qui peut être téléchargé à partir d'un site Web supposément officiel ou de Twitter. Ces pages mènent à Github où sont stockés les exécutables Windows et MacOS. Une fois téléchargés et ouverts, ces exécutables installent JMT Trader et un programme malveillant secondaire (backdoor) appelé CrashReporter. Cependant, ce n'est pas la seule façon de répandre divers logiciels malveillants. Très souvent, les cybercriminels font des campagnes de spam (courriels), d'autres canaux de téléchargement de logiciels peu fiables, des outils non officiels d'activation de logiciels et de fausses mises à jour. Les cybercriminels répandent des logiciels malveillants par le biais de campagnes de spam en envoyant des courriels contenant des pièces jointes malveillantes. L'objectif principal est d'amener les destinataires à ouvrir le fichier joint. S'il est ouvert, il infecte le système avec des logiciels malveillants. Typiquement, les cybercriminels attachent des documents Microsoft Office, des fichiers exécutables (comme.exe, et autres), des fichiers d'archive (RAR, ZIP, etc.) et des fichiers JavaScript. Une autre façon de répandre les logiciels malveillants est d'utiliser des sources de téléchargement non fiables pour cela. Par exemple, les réseaux Peer-to-Peer (comme les clients torrent, eMule), le téléchargement de freeware et les sites d'hébergement de fichiers gratuits, les téléchargeurs tiers, les pages prétendument officielles (comme celle qui est utilisée pour distribuer JMT Trader), etc. Les personnes qui téléchargent des fichiers ou des programmes par l'intermédiaire d'outils ou de canaux de ce type risquent de télécharger des fichiers malveillants (généralement, ils sont déguisés en fichiers inoffensifs et légitimes). Une fois ouverts, ces fichiers installent des logiciels malveillants. Pour faire proliférer divers logiciels malveillants, les cybercriminels utilisent aussi souvent des outils de "piratage" de logiciels. S'ils sont utilisés, ces outils installent souvent des programmes malveillants au lieu d'activer certains logiciels qui ne sont pas gratuits. Les fausses mises à jour de logiciels infectent généralement les systèmes en exploitant des bogues, des failles, des logiciels périmés ou en installant des logiciels malveillants au lieu de mises à jour.
Comment éviter l'installation d'applications potentiellement indésirables ?
Évitez d'ouvrir des pièces jointes ou des liens qui sont présentés dans des courriels envoyés à partir d'adresses inconnues et suspectes. Si un courriel reçu n'est pas pertinent, nous vous déconseillons d'ouvrir la pièce jointe incluse ou de cliquer sur le lien présenté. De plus, il est important de télécharger les logiciels à l'aide de liens de téléchargement directs et à partir de sites Web officiels dignes de confiance uniquement. Nous vous recommandons fortement d'éviter d'utiliser des téléchargeurs, des installateurs, des pages non officielles ou d'autres sources non fiables pour cela. Ces sources peuvent être (et sont souvent) utilisées pour faire proliférer divers logiciels malveillants (ou autres logiciels indésirables). Les logiciels installés doivent être mis à jour et activés à l'aide d'outils ou de fonctions implémentées fournis par des développeurs de logiciels officiels, et non par des outils tiers. De plus, il n'est pas légal de contourner les activations logicielles à l'aide de divers outils de "cracking". Enfin, il est toujours recommandé d'installer un antivirus ou un logiciel anti-espion de bonne réputation et d'analyser régulièrement le système d'exploitation avec lui. Si votre ordinateur est déjà infecté par des PUA, nous vous recommandons d'effectuer un scan avec Combo Cleaner pour les éliminer automatiquement.
Captures d'écran de l'application JMT Trader :
Liste des fichiers de CrashReporter :
- /Applications/JMTTrader.app/Contents/CrashReporter (MacOS)
- /Library/JMTTrader/CrashReporter (MacOS)
- %AppData%\JMTTrader\CrashReporter (Windows OS)
Capture d'écran du programme d'installation de JMT Trader demandant l'autorisation d'installer des logiciels supplémentaires :
Le processus CrashReporter s'exécutant dans le moniteur d'activités :
Suppression instantanée et automatique des maliciels sur Mac :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels recommandé pour supprimer les maliciels Mac. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner pour Mac
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que AppleJeus ?
- ETAPE 1. Supprimer les fichiers et dossiers liés au PUA d'OSX.
- ETAPE 2. Supprimer les extensions malhonnêtes de Safari.
- ETAPE 3. Supprimer les add-ons malhonnêtes de Google Chrome.
- ETAPE 4. Supprimer les plug-ins potentiellement indésirables de Mozilla Firefox.
Vidéo montrant comment supprimer les logiciels publicitaires et les pirates de navigateur d'un ordinateur Mac :
Suppression d'applications potentiellement indésirables :
Supprimez les applications potentiellement indésirables de votre dossier "Applications" :
Cliquez sur l'icône Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et faites-les glisser vers la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables qui sont à l'origine des publicités en ligne, scannez votre Mac à la recherche de tout composant indésirable restant.
Suppression des fichiers et dossiers reliés au application clandestine applejeus:
Cliquer l'Icône Trouver, dans la barre des menus, choisissez Aller, et cliquer Aller au dossier...
Rechercher les fichiers générés par le logiciel de publicité dans le dossier Library/LaunchAgents:
Dans la barre Aller au dossier... taper: Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés dans le dossier de /Library/Application Support :
Dans la barreAller au dossier..., taper: /Library/Application Support
Dans le dossier “Application Support” , rechercher tous les dossiers suspects récemment ajoutés. Par exemple, “MplayerX” or “NicePlayer”, et déplacer ces dossiers dans la Corbeille.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier ~/Library/LaunchAgents:
Dans la barre Aller au dossier, taper : ~/Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier /Library/LaunchDaemons:
Dans la barre Aller au dossier, taper : /Library/LaunchDaemons
Dans le dossier “LaunchDaemons” , rechercher tous les fichiers suspects récemment ajoutés . Par exemple, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., et déplacez-les dans la Corbeille.
Scanner votre Mac avec Combo Cleaner:
Si vous avez suivi toutes les étapes dans le bon ordre votre Mac devrait être libre de toutes infections. Pour être sûr que votre système n’est pas infecté exécuté un scan avec l’antivirus Combo Cleaner. Télécharger ICI. Après avoir téléchargé le fichier double cliqué sur combocleaner.dmg installer, dans la fenêtre ouverte glisser et déposer l’icône Combo Cleaner sur le dessus de l’icône Applications. Maintenant ouvrez votre launchpad et cliquer sur l’icône Combo Cleaner. Attendez jusqu’à Combo Cleaner mette à jour sa banque de données de définition de virus et cliquer sur le bouton 'Démarrez Combo Cleaner'.
Combo Cleaner scanner votre Mac à la recherche d’infections de logiciels malveillants. Si le scan de l’antivirus affiche 'aucune menace trouvée' – cela signifie que vous pouvez continuez avec le guide de suppression, autrement il est recommandé de supprimer toute infection avant de continuer.
Après avoir supprimé les fichiers et les dossiers générés par le logiciel de publicité, continuer pour supprimer les extensions escrocs de vos navigateurs internet.
Suppression du application clandestine applejeus dans les navigateurs Internet :
Suppression des extensions malicieuses dans Safari:
Suppression des extensions reliées à application clandestine applejeus dans Safari :
Ouvrez le navigateur Safari. Dans la barre menu, sélectionner "Safari" et cliquer "Préférences...".
Dans la fenêtre préférences, sélectionner "Extensions" et rechercher tous les extensions suspectes récemment installées. Quand vous l'avez trouvée, cliquer le bouton "Désinstaller" à côté de celle (s)-ci. Noter que vous pouvez désinstaller de façon sécuritaire les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Safari.
Supprimer les plug-ins malicieux dans Mozilla Firefox:
Supprimer les ajouts reliés à application clandestine applejeus dans Mozilla Firefox :
Ouvrez votre navigateur Mozilla Firefox. Dans le coin supérieur droit de l'écran, cliquer le bouton "Ouvrir le Menu" (trois lignes horizontales). Dans le menu ouvert, choisissez "Ajouts".
Choisissez l'onglet "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Supprimer" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Mozilla Firefox - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Mozilla Firefox.
Suppression des extensions malicieuses dans Google Chrome :
Suppression des ajouts reliés à application clandestine applejeus dans Google Chrome :
Ouvrez Google Chrome et cliquer le bouton "menu Chrome" (trois lignes horizontales) localisé dans le coin supérieur droit de la fenêtre du navigateur. À partir du menu déroulant, cliquer "Plus d'outils" et sélectionner "Extensions".
Dans la fenêtre "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Corbeille" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Google Chrome.
!Remarquable!
▼ Montrer la discussion