PureHVNC RAT

Wat voor soort malware is PureHVNC?

PureHVNC is een Remote Access Trojan (RAT). Dit type malware maakt externe toegang tot en controle over geïnfecteerde apparaten mogelijk. PureHVNC heeft uitgebreide mogelijkheden om gegevens te stelen. Deze trojan is verspreid via valse generatieve AI-websites die via Facebook worden gepromoot. Er zijn sterke aanwijzingen dat de cybercriminelen achter deze campagnes Vietnamees spreken.

“PureHVNC-malwaredetecties

Overzicht van PureHVNC-malware

PureHVNC is verspreid via AI-gerelateerde malvertising-campagnes op Facebook (meer informatie hierover vindt u verderop in het artikel). Deze trojan kan echter ook via andere methoden worden verspreid. PureHVNC is een RAT (Remote Access Trojan), een kwaadaardig programma dat is ontworpen om op afstand toegang te krijgen tot computers en deze te besturen.

De malware infiltreert systemen in twee fasen. Het uitvoerbare bestand van de eerste fase start een loader; er zijn verschillende loaders aangetroffen, waarvan de meeste zijn gebaseerd op .NET. Er zijn meerdere gevallen geconstateerd waarin het uitvoerbare bestand een .NET Ahead-Of-Time (AOT) compilatie voor anti-analyse en anti-detectie doeleinden.

De eerste fase is gericht op het omzeilen van detectie en het voorkomen van analyse (bijvoorbeeld het zoeken naar informatie met betrekking tot virtuele machines, sandbox-omgevingen, beveiligingssoftware, enz.), het waarborgen van persistentie en verdere payload-injectie. PureHVNC is de kernpayload die in de tweede fase wordt geïntroduceerd.

Zoals vermeld in de inleiding, heeft deze RAT veel functies voor het stelen van gegevens. Het kan informatie extraheren en exfiltreren uit Chromium-gebaseerde browsers en browserextensies (volledige lijst hieronder). De gegevens die worden gestolen, kunnen bestaan uit browsegeschiedenis en zoekgeschiedenis, internetcookies, inloggegevens, persoonlijk identificeerbare gegevens, creditcard-/debetkaartnummers, enz.

De trojan kan ook gegevens verzamelen die verband houden met cryptocurrency-wallets, e-mailclients en messengers (hieronder vermeld). PureHVNC maakt gebruik van plug-ins voor extra functionaliteit. Een van de bekende plug-ins die door deze trojan wordt gebruikt, volgt vensters op de voorgrond en maakt screenshots ervan wanneer een interessant trefwoord wordt gedetecteerd. De beoogde woorden zijn voornamelijk gericht op banken, bankieren en cryptowallets (lijst met bekende trefwoorden).

Samenvattend kan de aanwezigheid van kwaadaardige software zoals PureHVNC RAT op apparaten leiden tot meerdere systeeminfecties, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.

Samenvatting van de bedreiging:
Naam	PureHVNC trojan voor externe toegang
Type bedreiging	Trojan, Remote Access Trojan, Remote Administration Tool, RAT.
Detectienamen	Avast (Win64:MalwareX-gen [Misc]), Combo Cleaner (QD:Trojan.GenericKDQ.99E2409702), ESET-NOD32 (MSIL/TrojanDownloader. Agent.PEP), Kaspersky (Backdoor.MSIL.Crysan.kaz), Symantec (Trojan.Gen.MBT), Volledige lijst met detecties (VirusTotal)
Symptomen	Trojaanse paarden zijn ontworpen om heimelijk de computer van het slachtoffer te infiltreren en stil te blijven, waardoor er geen duidelijke symptomen zichtbaar zijn op een geïnfecteerde machine.
Gerelateerde domeinen	klingaieditor[.]com, kingaimediapro[.]com, kingaivideotext[.]com, kingaiplus[.]com, klingaistudio[.]com, klingaimedia[.]com
Verspreidingsmethoden	Geïnfecteerde e-mailbijlagen, kwaadaardige online advertenties, social engineering, software ‘cracks’.
Schade	Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet.
Malware verwijderen (Windows)	Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows Downloaden Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Voorbeelden van trojans voor externe toegang

We hebben talrijke RAT's onderzocht; CurlBack, ResolverRAT, Neptune, Lilith, en Triton zijn slechts enkele van onze nieuwste artikelen. Deze trojans kunnen ongelooflijk veelzijdig en multifunctioneel zijn. Maar zelfs malware met beperkte mogelijkheden vormt een groot gevaar.

Bovendien worden kwaadaardige programma's vaak in combinatie met andere programma's gebruikt. Hoe malware ook werkt, de aanwezigheid ervan op een systeem vormt een bedreiging voor de integriteit van het apparaat en de veiligheid van de gebruiker. Daarom moeten alle bedreigingen onmiddellijk na detectie worden verwijderd.

Hoe is PureHVNC op mijn computer terechtgekomen?

PureHVNC is verspreid via Facebook-malvertisingcampagnes met behulp van generatieve AI. Er zijn meer dan zeventig berichten en meerdere betaalde advertenties op dit platform ontdekt. Deze inhoud promootte nepwebsites die Kling AI imiteerden, een generatieve AI-dienst ontwikkeld door Kuaishou Technology.

Gebruikers konden afbeeldingen uploaden naar de frauduleuze sites om een door AI gegenereerde afbeelding of video te produceren, maar in plaats van de output te downloaden, downloadden ze een ZIP-bestand. Dit archief bevatte een uitvoerbaar bestand (.exe) waarvan het bestandstype was vermomd met een uitgebreide bestandsnaam vol Hangul Filler-tekens en een valse MP4- of JPG-extensie.

Andere distributiemethoden zijn niet onwaarschijnlijk. Phishing en social engineering-technieken zijn standaard bij de verspreiding van malware. Kwaadaardige software wordt doorgaans vermomd als of gebundeld met gewone programma-/mediabestanden. Besmettelijke bestanden kunnen archieven (ZIP, RAR, enz.), uitvoerbare bestanden (.exe, .run, enz.), documenten (PDF, Microsoft Office, Microsoft OneNote, enz.), JavaScript, enzovoort.

Malware wordt voornamelijk verspreid via trojans (loaders/backdoors), drive-by (heimelijke/misleidende) downloads, kwaadaardige bijlagen of links in spam-e-mails/berichten, online oplichting, malvertising, dubieuze downloadkanalen (bijv. freeware- en websites van derden, P2P-netwerken, enz.), valse updates en illegale software-activeringstools (“cracks”).

Bovendien kunnen sommige schadelijke programma's zich zelf verspreiden via lokale netwerken en verwijderbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).

Hoe kunt u de installatie van malware voorkomen?

We raden u aan voorzichtig te zijn tijdens het surfen, aangezien het internet vol staat met misleidende en schadelijke inhoud. Inkomende e-mails, privéberichten/directe berichten, sms'jes en andere berichten moeten met zorg worden behandeld. Bijlagen of links in verdachte/irrelevante e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn.

Wij raden aan om alleen te downloaden van officiële en geverifieerde bronnen. Een andere aanbeveling is om software te activeren en bij te werken met behulp van originele functies/tools, aangezien software van derden malware kan bevatten.

Het is essentieel om een betrouwbaar antivirusprogramma te installeren en up-to-date te houden. Beveiligingsprogramma's moeten worden gebruikt om regelmatig systeemscans uit te voeren en gedetecteerde bedreigingen te verwijderen. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Malvertising op Facebook gebruikt om PureHVNC te promoten (bron afbeelding – Check Point):

Nep-Facebookprofiel van Kling AI dat wordt gebruikt om PureHVNC te promoten:

Valse generatieve AI-websites die slachtoffers misleiden om PureHVNC te downloaden:

Voorbeeld 1:

“Frauduleuze

Voorbeeld 2:

Frauduleuze AI-webpagina die PureHVNC-malware verspreidt 2

Browsers die het doelwit zijn van PureHVNC:

7Star, 360Browser, Amigo, Atom, Brave, CentBrowser, Chedot, Chrome, ChromePlus, Chromodo, Citrio, CocCoc, Comodo, Coowon, Dragon, Edge, Elements, Epic, Iridium, K-Melon, Kometa, liebao, Maxthon3, Nichrome, Orbitum, Privacy, QIP, QQBrowser, Sleipnir5, Sputnik, Surf, Torch, Uran en Vivaldi.

Browser-extensies gericht op cryptovaluta:

Binance Chain Wallet, BitApp, BitClip, BitKeep, Braavos, Coin98, Coinbase, CONex, Cyano, EQUAL, Exodus, Finnie, Guarda, iWallet, Jaxx, Keeper, Keplr, Liberty, Liquality, Math, MetaMask, MOBOX, Nifty, Phantom, Rabet, Ronin, Solana, Swash, Terra Station, TezBox, TronLink, Trust, Waves Keeper, Wombat, XDCPay, XDEFI, Yoroi en ZilPay.

Gerichte browser-extensies voor authenticatie en wachtwoordbeheer:

Authenticator, Authy, EOS Authenticator, GAuth Authenticator en Trezor Password Manager.

Gerichte desktop-cryptowallets:

Atomic Wallet
Bitcoin-Qt
Dash-Qt
Electrum
Ethereum
Exodus
Jaxx
Ledger Live
Litecoin-Qt
Zcash

Andere software waarop de aanval gericht was:

Foxmail
Telegram

Zoekwoorden die door PureHVNC zijn gezocht:

ABANCA, atomic wallet, atomicwallet, Banca Agricola Popolare, Banca Monte dei Paschi di Siena, Banca Sella Group, Banco Aliado, Banco Ambrosiano, banco av villas, Banco Azteca, banco bac, Banco BBP, banco bbva, Banco BCT Bank International, Banco Bi-Bank, Banco Caja Social, Banco ctt, Banco da Itália, Banco Davivienda, Banco de Bogotá, Banco de Occidente, Banco di Napoli, Banco do Brasil, Banco do Nordeste, Banco Ficohsa, banco general, Banco General Panamá, banco GNB, Banco inter, Banco pan, Banco Santander, Bancolombia, banistmo, bank of america, Bankinter, bbva, BBVA Colômbia, binance, Brandesco, Bybit, Caixa geral de depósitos, caixabank, Caja de Ahorros, Chase Bank, Citibank Colombia, Citigroup, Coinbase, Colpatria, Credito Agricola, DKB Bank, DKB.de, Eurobic, exodus, facebook ads, FinecoBank, Gate.io, gemini.com, gemini.com/exchange, GNB Sudameris, Goldman Sachs, google ads, HSBC, Huntington, Intesa Sanpaolo, Itaú Corpbanca Colômbia, JP Morgan Chase, Lloyds Bank, metamask, Metro Bank, Moey, Montepio, Novobanco, Nubank, Openbank, paypal, Poloniex, Prosperity Bank, Revolut, Sanpaolo IMI, Santander, Santander UK, Starling Bank, Truist Bank, trustwallet, Unibanco, UniCredit, usbank, Virgin Money UK, wellsfargo, westernunion.

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

DOWNLOAD Combo Cleaner

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

Wat is PureHVNC?
STAP 1. Handmatige verwijdering van PureHVNC-malware.
STAP 2. Controleer of uw computer schoon is.

Hoe verwijder je malware handmatig?

Handmatige verwijdering van malware is een ingewikkelde taak - meestal kun je dit het beste automatisch laten doen door antivirus- of antimalwareprogramma's. Om deze malware te verwijderen, raden we aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam van de malware identificeren die u wilt verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

“Malwareproces

Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met behulp van Taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u deze stappen volgen:

handmatige verwijdering van malware stap 1 Download een programma met de naam Autoruns. Dit programma toont automatisch startende applicaties, het register en de locaties van het bestandssysteem:

Weergave van de Autoruns-toepassing

handmatige verwijdering van malware stap 2 Start uw computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet. Selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Windows 7 of Windows XP uitvoeren in de veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 7 start in “Veilige modus met netwerkmogelijkheden”:

Gebruikers van Windows 8: Start Windows 8 in de veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten.

Klik op Geavanceerde opstartopties en selecteer Geavanceerd opstarten in het venster “Algemene pc-instellingen” dat wordt geopend. Klik op de knop “Nu opnieuw opstarten”. Uw computer wordt nu opnieuw opgestart in het menu “Geavanceerde opstartopties”. Klik op de knop “Problemen oplossen” en vervolgens op de knop “Geavanceerde opties”. Klik in het scherm met geavanceerde opties op “Opstartinstellingen”.

Klik op de knop Opnieuw opstarten. Uw pc wordt opnieuw opgestart in het scherm Opstartinstellingen. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video waarin wordt getoond hoe u Windows 8 opstart in de ”Veilige modus met netwerkmogelijkheden":

Gebruikers van Windows 10: klik op het Windows-logo en selecteer het pictogram ‘Power’. Klik in het geopende menu op ‘Restart’ terwijl u de ‘Shift’-toets op uw toetsenbord ingedrukt houdt. Klik in het venster ‘Kies een optie’ op ‘Problemen oplossen’ en selecteer vervolgens ‘Geavanceerde opties’.

Selecteer in het menu met geavanceerde opties “Opstartinstellingen” en klik op de knop “Opnieuw opstarten”. In het volgende venster moet u op de knop “F5” op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden.

Windows 10 uitvoeren in de veilige modus met netwerkondersteuning

Video die laat zien hoe u Windows 10 start in “Veilige modus met netwerkondersteuning”:

handmatige verwijdering van malware stap 3 Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

“Pak

Klik in de toepassing Autoruns bovenaan op ‘Opties’ en schakel de opties ”Lege locaties verbergen“ en ”Windows-vermeldingen verbergen“ uit. Klik na deze procedure op het pictogram ”Vernieuwen".

Autoruns-toepassingsresultaten vernieuwen

handmatige verwijdering van malware stap 5 Controleer de lijst die door de Autoruns-toepassing wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

Noteer het volledige pad en de naam ervan. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u “Verwijderen”.

“Malware

Nadat u de malware hebt verwijderd via de Autoruns-toepassing (hierdoor wordt ervoor gezorgd dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat.

Als u de bestandsnaam van de malware vindt, verwijder deze dan. Zoek naar malware en verwijder deze.

Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, wordt alle malware van uw computer verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan malware achteraf te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met PureHVNC-malware. Moet ik mijn opslagapparaat formatteren om deze te verwijderen?

Voor het verwijderen van malware is formatteren zelden nodig.

Wat zijn de grootste problemen die PureHVNC-malware kan veroorzaken?

De bedreigingen die een infectie met zich meebrengt, zijn afhankelijk van de mogelijkheden van de malware en de werkwijze van de cybercriminelen. PureHVNC maakt het mogelijk om apparaten op afstand te bedienen en heeft uitgebreide functionaliteiten voor het stelen van gegevens. Over het algemeen kan dit soort malware meerdere systeeminfecties, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal veroorzaken.

Wat is het doel van PureHVNC-malware?

Malware wordt voornamelijk gebruikt om inkomsten te genereren. Cybercriminelen kunnen kwaadaardige software echter ook gebruiken om zichzelf te vermaken, persoonlijke wrok te koesteren, processen te verstoren (bijv. websites, diensten, bedrijven, enz.), hacktivisme te bedrijven en politiek/geopolitiek gemotiveerde aanvallen uit te voeren.

Hoe is PureHVNC-malware op mijn computer terechtgekomen?

PureHVNC is verspreid via valse, door AI gegenereerde inhoud die wordt verspreid door valse websites die via Facebook worden gepromoot. Er zijn ook andere verspreidingstechnieken mogelijk. Malware wordt voornamelijk verspreid via trojans, drive-by downloads, online oplichting, malvertising, spam, verdachte downloadkanalen (bijv. freeware- en websites van derden, P2P-netwerken, enz.), illegale software-activeringstools (“cracks”) en valse updates.

Beschermt Combo Cleaner mij tegen malware?

Combo Cleaner kan vrijwel alle bekende malware-infecties detecteren en verwijderen. Vergeet niet dat het essentieel is om een volledige systeemscan uit te voeren, aangezien geavanceerde kwaadaardige software zich meestal diep in systemen verschuilt.