Overlord RAT (Mac)

Jakim rodzajem malware jest Overlord?

Overlord to trojan zdalnego dostępu (RAT) napisany w języku programowania Go. Atakuje zarówno systemy Windows, jak i macOS, a pierwsze wykrycia odnotowano w Korei Południowej. W systemie macOS Overlord może ustanowić trwałe połączenie z serwerem kontrolowanym przez atakującego, przechwytywać dane wejściowe z klawiatury i myszy oraz podejmować próby przejęcia przeglądarek. Jeśli Overlord zostanie wykryty na urządzeniu, należy go jak najszybciej usunąć.

Wykrycia Overlord RAT na VirusTotal

Przegląd Overlord RAT

Overlord jest skompilowany jako plik binarny macOS Apple Silicon (arm64) przy użyciu Go 1.25.6. Jego kod źródłowy jest publicznie dostępny na GitHub na licencji open-source, z setkami commitów i aktywnym, trwającym rozwojem. Oznacza to, że jego możliwości na macOS mogą znacząco się rozszerzyć w najbliższej przyszłości.

Po zainstalowaniu na komputerze Mac, Overlord łączy się z serwerem kontroli i dowodzenia (C2) i czeka na instrukcje od operatora. Malware ustawia również mechanizm trwałości, umożliwiając mu automatyczne działanie po każdym ponownym uruchomieniu systemu. Dane wejściowe z klawiatury i myszy są przechwytywane i przekazywane przez wewnętrzny kanał, zapewniając atakującemu wgląd w to, co robi użytkownik.

Możliwości Overlord na macOS

Overlord obsługuje zestaw poleceń C2 do zdalnego zarządzania zainfekowanym urządzeniem. Polecenie „hvnc_start" jest zaprojektowane do uruchomienia ukrytej sesji pulpitu i przesyłania jej zawartości do atakującego. Polecenia „hvnc_start_chrome_injected" i „hvnc_start_browser_injected" celują w Chrome i inne przeglądarki, próbując wymusić ich ponowne uruchomienie ze złośliwymi modyfikacjami. Polecenie „hvnc_lookup" rozwiązuje ścieżki plików wykonywalnych w systemie ofiary.

Na macOS funkcje ukrytego wirtualnego pulpitu i wstrzykiwania DLL są obecnie jedynie namiastkami. Są obecne w kodzie, ale nie w pełni funkcjonalne - po ich wywołaniu zwracany jest komunikat „HVNC not supported on this platform". Wstrzykiwanie procesów do ukrytej sesji pulpitu i ekstrakcja ładunku DLL również działają wyłącznie na systemie Windows.

Niemniej jednak mechanizm trwałości i przechwytywanie zdarzeń wejściowych działają na obu platformach. Same te funkcje pozwalają atakującemu monitorować, co użytkownik wpisuje i klika, co może być wykorzystane do kradzieży danych uwierzytelniających i inwigilacji. Polecenia związane z wstrzykiwaniem do przeglądarki są uwzględnione w kompilacji macOS, choć ich skuteczność na macOS jest bardziej ograniczona niż na Windows.

Podsumowanie Zagrożenia:
Nazwa	Overlord Malware
Typ Zagrożenia	Trojan zdalnego dostępu (RAT), malware na Maca, wirus na Maca
Nazwy Wykrycia	Combo Cleaner (Trojan.Generic.39911815), ESET-NOD32 (OSX/Spy.Agent.AO Trojan), Kaspersky (HEUR:Trojan-Spy.OSX.Agent.n), Symantec (OSX.Trojan.Gen), Pełna lista (VirusTotal)
Objawy	Trojany zdalnego dostępu są zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego na zainfekowanej maszynie nie są wyraźnie widoczne żadne szczególne objawy.
Możliwe Metody Dystrybucji	Zainfekowane załączniki e-mail, złośliwe reklamy online, inżynieria społeczna, luki w oprogramowaniu, „cracki" oprogramowania.
Szkody	Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu, dodatkowe infekcje, straty finansowe, przejęcie kont, pełne skompromitowanie systemu.
Usuwanie malware (Windows)	Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Podsumowanie

Overlord to oparty na Go RAT, który może zapewnić atakującym trwały zdalny dostęp do zainfekowanych komputerów Mac. Nawet w obecnej formie na macOS, gdzie kilka zaawansowanych funkcji pozostaje jedynie namiastkami, przechwytuje zdarzenia wejściowe i utrzymuje aktywne połączenie C2.

Ofiary są narażone na kradzież danych uwierzytelniających, przejęcie przeglądarki i inwigilację. Ponieważ projekt jest aktywnie rozwijany, jego możliwości na macOS mogą z czasem się rozszerzać. W przypadku wykrycia Overlord na urządzeniu należy go natychmiast usunąć.

Więcej przykładów malware atakującego macOS to GolangGhost, notnullOSX i NovaStealer.

W jaki sposób Overlord zinfiltrował mój komputer?

Dokładne metody dystrybucji Overlord nie zostały w pełni potwierdzone. Pierwsze wykrycia zarejestrowano w Korei Południowej i nie jest pewne, czy malware został wdrożony przeciwko rzeczywistym ofiarom, czy też wciąż znajduje się w fazie testowania i rozwoju.

Ogólnie rzecz biorąc, RAT-y i podobne malware docierają do ofiar za pośrednictwem e-maili phishingowych i taktyk inżynierii społecznej. Złośliwe programy są zwykle maskowane jako legalne oprogramowanie lub dołączane do pirackiej zawartości. W wielu przypadkach samo otwarcie zainfekowanego pliku lub instalatora wystarczy, aby wywołać infekcję.

Inne powszechne metody dystrybucji obejmują pobieranie drive-by, fałszywe instalatory oprogramowania z witryn zewnętrznych, platformy udostępniania peer-to-peer, cracki oprogramowania oraz złośliwe linki wysyłane za pośrednictwem poczty e-mail lub komunikatorów. Niektóre RAT-y mogą się również rozprzestrzeniać przez sieci lokalne lub wymienne urządzenia pamięci masowej, gdy przyczółek zostanie ustanowiony na jednej maszynie.

Jak unikać malware?

Należy zachować ostrożność w przypadku nieoczekiwanych e-maili, linków lub załączników, szczególnie od nieznanych nadawców. Oprogramowanie należy pobierać wyłącznie z oficjalnych źródeł, takich jak Mac App Store lub oficjalna strona dewelopera. Należy unikać pirackich programów, generatorów kluczy i złamanych aplikacji, ponieważ powszechnie zawierają ukryte malware.

Należy aktualizować macOS i wszystkie zainstalowane aplikacje oraz zachować ostrożność w przypadku wyskakujących okienek, powiadomień przeglądarki i reklam z nieznanych witryn. Należy korzystać z renomowanego narzędzia bezpieczeństwa i regularnie przeprowadzać skanowanie. Jeśli komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie usunąć wszystkie zagrożenia.

Overlord RAT promowany na GitHub:

Overlord RAT na GitHub

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

POBIERZ Combo Cleaner

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

Czym jest Overlord?
Usuwanie plików i folderów powiązanych z Overlord z OSX.

Usuwanie niechcianych aplikacji:

Usuń potencjalnie niechciane aplikacje z folderu „Aplikacje":

Ręczne usuwanie złośliwych aplikacji Mac

Kliknij ikonę Finder. W oknie Finder wybierz „Aplikacje". W folderze aplikacji poszukaj „MPlayerX", „NicePlayer" lub innych podejrzanych aplikacji i przeciągnij je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji powodujących reklamy online przeskanuj komputer Mac w poszukiwaniu pozostałych niechcianych komponentów.

POBIERZ narzędzie do usuwania złośliwego oprogramowania

Combo Cleaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany malware Overlord - czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Formatowanie całkowicie usunie Overlord, ale jednocześnie skasuje wszystkie dane przechowywane na urządzeniu. Przed podjęciem tak drastycznego kroku zazwyczaj lepiej jest najpierw spróbować usunięcia za pomocą zaufanego narzędzia bezpieczeństwa, takiego jak Combo Cleaner.

Jakie są największe problemy, które może powodować malware Overlord?

Overlord może zapewnić atakującemu trwały zdalny dostęp do zainfekowanego komputera Mac, w tym możliwość przechwytywania naciśnięć klawiszy i prób przejęcia przeglądarki. Może to skutkować kradzieżą danych uwierzytelniających, przejęciem kont, kradzieżą tożsamości, a w poważniejszych przypadkach pełnym skompromitowaniem systemu.

Jaki jest cel malware Overlord?

Celem Overlord jest zapewnienie atakującym zdalnej kontroli nad zainfekowanymi urządzeniami. Jest zaprojektowany do utrzymywania trwałego połączenia C2, przechwytywania danych wejściowych z klawiatury i myszy oraz prób przejęcia przeglądarki, umożliwiając ciągłą inwigilację i kradzież danych uwierzytelniających.

W jaki sposób malware Overlord zinfiltrował mój komputer?

Malware jest głównie dystrybuowane za pośrednictwem trojanów, pobierania drive-by, e-maili phishingowych, złośliwych załączników, pirackiego oprogramowania, narzędzi do łamania zabezpieczeń i fałszywych aktualizacji. Niektóre programy mogą się również rozprzestrzeniać przez sieci lokalne lub wymienne urządzenia pamięci masowej.

Czy Combo Cleaner ochroni mnie przed malware?

Tak, Combo Cleaner potrafi wykryć i usunąć większość znanych zagrożeń. Jednak zaawansowane malware może ukrywać się głęboko w systemie, dlatego zawsze zalecane jest przeprowadzenie pełnego skanowania w celu zapewnienia całkowitego usunięcia.