PhantomStealer Malware

Wat voor soort malware is PhantomStealer?

PhantomStealer is een informatiedief die wordt verspreid via een malware-loader die bekend staat als JSGuLdr. Eenmaal geïnfiltreerd, kan PhantomStealer verschillende gevoelige gegevens van geïnfecteerde apparaten verzamelen. Deze aanvallen kunnen leiden tot identiteitsdiefstal, financieel verlies en andere problemen. Als PhantomStealer op een apparaat wordt gedetecteerd, moet het onmiddellijk worden verwijderd.

PhantomStealer malware

Meer over PhantomStealer

Als stealer kan PhantomStealer worden ontworpen om een breed scala aan informatie te stelen, waaronder automatisch ingevulde gegevens in browsers, zoals opgeslagen namen, adressen en creditcardgegevens. Het kan ook cookies, browsegeschiedenis en opgeslagen wachtwoorden verzamelen van verschillende webbrowsers die op het geïnfecteerde apparaat zijn geïnstalleerd.

PhantomStealer kan ook een keylogging-functie bevatten, waarmee elke toetsaanslag op een geïnfecteerd apparaat wordt geregistreerd. Deze activiteit vindt doorgaans onopvallend op de achtergrond plaats, zodat het slachtoffer niets ongewoons opmerkt. Hierdoor kunnen aanvallers gevoelige gegevens verzamelen, zoals inloggegevens, betalingsinformatie, persoonlijke gesprekken, enz.

Bovendien doorzoeken veel dieven het hele systeem op gegevens van berichtenapps (bijvoorbeeld Discord, Telegram, WhatsApp), gamingplatforms, FTP-clients, VPN-software en andere programma's. De gestolen informatie kan configuratiebestanden, inlogtokens, opgeslagen inloggegevens en andere belangrijke accountgegevens omvatten.

Bovendien kan PhantomStealer zich richten op cryptocurrency-wallets door walletbestanden en andere gerelateerde gegevens te lokaliseren en te bemachtigen. Het kan mogelijk gegevens extraheren, zoals privésleutels, seed-zinnen of andere gegevens. Het kan ook het klembord monitoren, zodat het crypto-adressen kan vastleggen die gebruikers kopiëren.

Naast de bovengenoemde gegevens kunnen stealers zoals PhantomStealer gedetailleerde systeem- en netwerkgegevens verzamelen, zoals de versie van het besturingssysteem, geïnstalleerde programma's (inclusief beveiligingstools) en actieve processen. Ze kunnen ook screenshots maken, audio opnemen via de microfoon van het apparaat en zelfs geselecteerde bestanden uploaden vanaf de geïnfecteerde machine.

Samenvatting van de dreiging:
Naam	PhantomStealer information dief
Type bedreiging	Trojan, wachtwoordstelend virus, bankmalware, spyware.
Detectienamen	Avast (FileRepMalware [Misc]), Combo Cleaner (Gen:Heur. Clyp.8), ESET-NOD32 (Python/PSW.Agent.FX Trojan), Kaspersky (UDS:Trojan-PSW.Win32.Agent), Microsoft (Trojan:Win32/Egairtigado!rfn), Volledige lijst (VirusTotal)
Symptomen	Trojaanse paarden zijn ontworpen om heimelijk de computer van het slachtoffer te infiltreren en stil te blijven, waardoor er geen duidelijke symptomen zichtbaar zijn op een geïnfecteerde machine.
Mogelijke distributiemethoden	Geïnfecteerde e-mailbijlagen, kwaadaardige online advertenties, social engineering, kwetsbaarheden in software, software 'cracks'.
Schade	Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet.
Malware verwijderen (Windows)	Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows Downloaden Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Conclusie

PhantomStealer is een type malware dat is ontworpen om gevoelige informatie van een geïnfecteerd apparaat te verzamelen. Het vormt een ernstig risico voor de privacy en veiligheid van de gebruiker en kan leiden tot problemen zoals geldverlies, accountkaping en identiteitsdiefstal. Het is belangrijk om dergelijke bedreigingen zo snel mogelijk te verwijderen om mogelijke schade te voorkomen.

Voorbeelden van andere stealers zijn Arkanix, NovaShadow en SharkStealer.

Hoe is PhantomStealer mijn computer binnengedrongen?

PhantomStealer wordt geleverd via een loader, een kwaadaardig script dat is geïdentificeerd als JSGuLdr. Eerst voert een JScript-bestand PowerShell uit met behulp van Windows Explorer-componenten. PowerShell downloadt vervolgens aanvullende kwaadaardige bestanden van Google Drive en slaat deze op in verborgen mappen binnen het systeem.

De gedownloade bestanden zijn versleuteld en PowerShell decodeert ze en voert ze alleen in het geheugen uit. In de laatste stap wordt PhantomStealer geïnjecteerd in msiexec.exe, een legitiem Windows-proces, zodat het stil kan worden uitgevoerd terwijl het gegevens steelt. Deze infectiemethode wordt gebruikt om beveiligingsmaatregelen te omzeilen, waardoor het moeilijker wordt om het met basistools te stoppen.

De oorspronkelijke infectievector is onbekend, maar de malware kan worden verspreid via e-mails met schadelijke bestanden of links, technische ondersteuningsfraude, illegale software, schadelijke advertenties, kraakprogramma's, keygens, kwetsbaarheden in software, P2P-netwerken of soortgelijke kanalen.

Hoe voorkom je de installatie van malware?

Houd uw besturingssysteem, applicaties en antivirussoftware up-to-date en voer regelmatig beveiligingsscans uit. Wees voorzichtig met e-mails of berichten van onbekende bronnen. Open geen bijlagen of links in dergelijke berichten. Download alleen software van officiële websites of vertrouwde app stores.

Klik niet op advertenties, pop-ups of andere verdachte items op onbetrouwbare websites en sta niet toe dat deze sites u meldingen sturen. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

DOWNLOAD Combo Cleaner

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

Wat is PhantomStealer?
STAP 1. Handmatige verwijdering van PhantomStealer-malware.
STAP 2. Controleer of uw computer schoon is.

Hoe malware handmatig verwijderen?

Het handmatig verwijderen van malware is een ingewikkelde taak. Meestal kunt u dit het beste automatisch laten doen door antivirus- of antimalwareprogramma's. Om deze malware te verwijderen, raden wij u aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam van de malware identificeren die u wilt verwijderen. Hier volgt een voorbeeld van een verdacht programma dat op de computer van een gebruiker wordt uitgevoerd:

Malwareproces dat wordt uitgevoerd in Taakbeheer

Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt gevonden dat verdacht lijkt, moet u deze stappen volgen:

handmatige verwijdering van malware 1 Download een programma met de naam Autoruns. Dit programma toont automatisch startende toepassingen, het register en de locaties van het bestandssysteem:

Uiterlijk van de Autoruns-toepassing

handmatige verwijdering van malware 2 Start uw computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet. Selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Windows 7 of Windows XP uitvoeren in de veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 7 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

Windows 8-gebruikers: Start Windows 8 op in de veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten. Klik op Geavanceerde opstartopties en selecteer Geavanceerd opstarten in het venster 'Algemene pc-instellingen' dat wordt geopend.

Klik op de knop 'Nu opnieuw opstarten'. Uw computer wordt nu opnieuw opgestart in het menu 'Geavanceerde opstartopties'. Klik op de knop 'Problemen oplossen' en vervolgens op de knop 'Geavanceerde opties'. Klik in het scherm met geavanceerde opties op 'Opstartinstellingen'.

Klik op de knop 'Opnieuw opstarten'. Uw pc wordt opnieuw opgestart en het scherm Opstartinstellingen wordt weergegeven. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Windows 8 uitvoeren in de veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 8 kunt opstarten in "Veilige modus met netwerkmogelijkheden":

Windows 10-gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".

Selecteer in het menu met geavanceerde opties 'Opstartinstellingen' en klik op de knop 'Opnieuw opstarten'. In het volgende venster moet u op de knop 'F5' op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkondersteuning.

Windows 10 uitvoeren in de veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 10 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

handmatige verwijdering van malware 3 Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Pak het archief Autoruns.zip uit en start de toepassing Autoruns.exe

handmatige verwijdering van malware 4 Klik in de toepassing Autoruns bovenaan op 'Opties' en schakel de opties 'Lege locaties verbergen' en 'Windows-vermeldingen verbergen' uit. Klik na deze procedure op het pictogram 'Vernieuwen'.

De resultaten van de Autoruns-toepassing vernieuwen

handmatige verwijdering van malware 5 Controleer de lijst die door de Autoruns-toepassing wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

U moet het volledige pad en de naam ervan noteren. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u "Verwijderen".

Malware verwijderen in Autoruns

Nadat u de malware hebt verwijderd via de toepassing Autoruns (hierdoor wordt ervoor gezorgd dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.

Zoek naar malware en verwijder deze

Start uw computer opnieuw op in de normale modus. Door deze stappen te volgen, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan malware achteraf te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met PhantomStealer. Moet ik mijn opslagapparaat formatteren om het te verwijderen?

Het is meestal niet nodig om een apparaat volledig te formatteren. Bedreigingen zoals PhantomStealer kunnen doorgaans worden verwijderd met betrouwbare antivirus- of antimalwareprogramma's, zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Het kan gevoelige gegevens stelen, extra payloads injecteren (computers met meer malware infecteren), bestanden versleutelen, het systeem instabiel maken of andere kwaadaardige acties uitvoeren.

Wat is het doel van PhantomStealer?

Het doel van PhantomStealer is om gevoelige informatie te stelen van geïnfecteerde apparaten. Dit kan onder meer wachtwoorden, browsergegevens, gegevens van cryptovaluta-wallets, informatie die is opgeslagen in het klembord, creditcardgegevens, bestanden en meer omvatten.

Hoe is PhantomStealer mijn computer binnengedrongen?

PhantomStealer wordt verspreid via een kwaadaardige loader genaamd JSGuLdr. Een JScript-bestand activeert PowerShell, dat versleutelde bestanden downloadt van Google Drive, deze decodeert in het geheugen en PhantomStealer injecteert in het legitieme msiexec.exe-proces om detectie te voorkomen. Hoewel de exacte initiële infectiemethode onbekend is, kan het zich verspreiden via kwaadaardige e-mails, valse ondersteuningspagina's, illegale software, schadelijke advertenties, gekraakte tools, kwetsbaarheden of P2P-downloads.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan bijna alle bekende malware detecteren en verwijderen. Geavanceerde malware verstopt zich echter vaak diep in het systeem, dus het is belangrijk om een volledige systeemscan uit te voeren.