Overlord RAT (Mac)

Wat voor soort malware is Overlord?

Overlord is een Remote Access Trojan (RAT) geschreven in de programmeertaal Go. Het richt zich op zowel Windows- als macOS-systemen, waarbij de eerste detecties werden geregistreerd in Zuid-Korea. Op macOS kan Overlord een persistente verbinding met een door de aanvaller beheerde server tot stand brengen, toetsenbord- en muisinvoer vastleggen en proberen browsers te kapen. Als Overlord op een apparaat wordt gedetecteerd, moet het zo snel mogelijk worden verwijderd.

Overlord RAT-detecties op VirusTotal

Overzicht van Overlord RAT

Overlord is gecompileerd als een macOS Apple Silicon (arm64) binary met Go 1.25.6. De broncode is openbaar beschikbaar op GitHub onder een open-sourcelicentie, met honderden commits en actieve doorlopende ontwikkeling. Dit betekent dat de macOS-mogelijkheden in de nabije toekomst aanzienlijk kunnen uitbreiden.

Eenmaal geïnstalleerd op een Mac maakt Overlord verbinding met een command-and-control (C2) server en wacht op instructies van de operator. De malware stelt ook persistentie in, waardoor deze na elke herstart van het systeem automatisch blijft draaien. Toetsenbord- en muisinvoer wordt vastgelegd en doorgestuurd via een intern kanaal, waardoor de aanvaller zicht krijgt op wat de gebruiker doet.

Mogelijkheden van Overlord op macOS

Overlord ondersteunt een reeks C2-opdrachten voor het op afstand beheren van het geïnfecteerde apparaat. De opdracht "hvnc_start" is ontworpen om een verborgen desktopsessie te starten en de inhoud ervan naar de aanvaller te streamen. De opdrachten "hvnc_start_chrome_injected" en "hvnc_start_browser_injected" richten zich op Chrome en andere browsers en proberen deze geforceerd opnieuw te starten met kwaadaardige aanpassingen. De opdracht "hvnc_lookup" lost uitvoerbare bestandspaden op het systeem van het slachtoffer op.

Op macOS zijn de functies voor het verborgen virtuele bureaublad en DLL-injectie momenteel stubs. Ze zijn aanwezig in de code maar niet volledig functioneel en retourneren "HVNC not supported on this platform" wanneer ze worden geactiveerd. Procesinjectie in een verborgen desktopsessie en DLL-payload-extractie zijn op dit moment ook alleen beschikbaar op Windows.

Dat gezegd hebbende, persistentie en het vastleggen van invoergebeurtenissen werken op beide platforms. Deze functies alleen al stellen een aanvaller in staat om te monitoren wat de gebruiker typt en klikt, wat kan worden gebruikt voor diefstal van inloggegevens en surveillance. Browsergerelateerde injectieopdrachten zijn opgenomen in de macOS-build, hoewel hun effectiviteit op macOS beperkter is dan op Windows.

Samenvatting Van De Bedreiging:
Naam	Overlord Malware
Type Bedreiging	Remote Access Trojan (RAT), Mac-malware, Mac-virus
Detectienamen	Combo Cleaner (Trojan.Generic.39911815), ESET-NOD32 (OSX/Spy.Agent.AO Trojan), Kaspersky (HEUR:Trojan-Spy.OSX.Agent.n), Symantec (OSX.Trojan.Gen), Volledige Lijst (VirusTotal)
Symptomen	Remote Access Trojans zijn ontworpen om heimelijk de computer van het slachtoffer te infiltreren en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine.
Mogelijke Distributiemethoden	Geïnfecteerde e-mailbijlagen, kwaadaardige online advertenties, social engineering, softwarekwetsbaarheden, software-'cracks'.
Schade	Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet, extra infecties, financieel verlies, accountkaping, volledige systeemcompromittering.
Malware verwijderen (Windows)	Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows Downloaden Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Conclusie

Overlord is een op Go gebaseerde RAT die aanvallers permanente toegang op afstand kan geven tot geïnfecteerde Macs. Zelfs in zijn huidige macOS-vorm, waar verschillende geavanceerde functies als stubs aanwezig zijn, legt het invoergebeurtenissen vast en onderhoudt het een live C2-verbinding.

Slachtoffers lopen risico op diefstal van inloggegevens, browserkaping en surveillance. Aangezien het project actief in ontwikkeling is, kunnen de macOS-mogelijkheden in de loop van de tijd groeien. Als Overlord op een apparaat wordt gedetecteerd, moet het onmiddellijk worden verwijderd.

Meer voorbeelden van malware gericht op macOS zijn GolangGhost, notnullOSX en NovaStealer.

Hoe is Overlord mijn computer binnengedrongen?

De exacte methoden die worden gebruikt om Overlord te verspreiden zijn niet volledig bevestigd. De eerste detecties werden geregistreerd in Zuid-Korea, en het is niet zeker of de malware is ingezet tegen echte slachtoffers of zich nog in een test- en ontwikkelingsfase bevindt.

Over het algemeen bereiken RAT's en vergelijkbare malware slachtoffers via phishing-e-mails en social engineering-tactieken. Kwaadaardige programma's worden doorgaans vermomd als legitieme software of gebundeld met illegale content. In veel gevallen is het simpelweg openen van een geïnfecteerd bestand of installatieprogramma voldoende om de infectie te activeren.

Andere veelgebruikte distributiemethoden zijn drive-by downloads, nep-software-installatieprogramma's van externe sites, peer-to-peer-deelplatforms, software-cracks en kwaadaardige links die via e-mail of berichten-apps worden verzonden. Sommige RAT's kunnen zich ook verspreiden via lokale netwerken of verwisselbare opslagapparaten zodra er een voet aan de grond is op één machine.

Hoe kunt u malware vermijden?

Wees voorzichtig met onverwachte e-mails, links of bijlagen, vooral van onbekende afzenders. Download software alleen van officiële bronnen zoals de Mac App Store of de officiële website van de ontwikkelaar. Vermijd illegale programma's, sleutelgeneratoren en gekraakte applicaties, aangezien deze vaak verborgen malware bevatten.

Houd macOS en alle geïnstalleerde applicaties up-to-date en wees voorzichtig met pop-ups, browsermeldingen en advertenties van onbekende websites. Gebruik een betrouwbare beveiligingstool en voer regelmatig scans uit. Als uw computer al geïnfecteerd is, raden wij aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om automatisch alle bedreigingen te verwijderen.

Overlord RAT gepromoot op GitHub:

Overlord RAT op GitHub

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

DOWNLOAD Combo Cleaner

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

Wat is Overlord?
Verwijder Overlord-gerelateerde bestanden en mappen uit OSX.

Verwijdering van ongewenste applicaties:

Verwijder potentieel ongewenste applicaties uit uw map "Applicaties":

Handmatige verwijdering van kwaadaardige Mac-applicaties

Klik op het Finder-pictogram. Selecteer in het Finder-venster "Applicaties". Zoek in de map Applicaties naar "MPlayerX", "NicePlayer" of andere verdachte applicaties en sleep ze naar de Prullenmand. Na het verwijderen van de potentieel ongewenste applicatie(s) die online advertenties veroorzaken, scant u uw Mac op resterende ongewenste componenten.

DOWNLOAD verwijderprogramma voor malware-infecties

Combo Cleaner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Veelgestelde Vragen (FAQ)

Mijn computer is geïnfecteerd met Overlord-malware, moet ik mijn opslagapparaat formatteren om ervan af te komen?

Formatteren verwijdert Overlord volledig, maar het wist ook alle gegevens die op het apparaat zijn opgeslagen. Voordat u zo'n drastische stap neemt, is het over het algemeen beter om eerst te proberen de malware te verwijderen met een vertrouwde beveiligingstool zoals Combo Cleaner.

Wat zijn de grootste problemen die Overlord-malware kan veroorzaken?

Overlord kan een aanvaller permanente toegang op afstand geven tot een geïnfecteerde Mac, inclusief de mogelijkheid om toetsaanslagen vast te leggen en browserkaping te proberen. Dit kan resulteren in gestolen inloggegevens, accountkaping, identiteitsdiefstal en in ernstigere gevallen volledige systeemcompromittering.

Wat is het doel van Overlord-malware?

Het doel van Overlord is om aanvallers controle op afstand te geven over geïnfecteerde apparaten. Het is ontworpen om een permanente C2-verbinding te onderhouden, toetsenbord- en muisinvoer vast te leggen en browserkaping te proberen, waardoor voortdurende surveillance en diefstal van inloggegevens mogelijk worden.

Hoe is Overlord-malware mijn computer binnengedrongen?

Malware wordt voornamelijk verspreid via trojans, drive-by downloads, phishing-e-mails, kwaadaardige bijlagen, illegale software, kraaktools en nep-updates. Sommige programma's kunnen zich ook verspreiden via lokale netwerken of verwisselbare opslagapparaten.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan de meeste bekende bedreigingen detecteren en verwijderen. Geavanceerde malware kan zich echter diep in het systeem verbergen, dus het uitvoeren van een volledige scan wordt altijd aanbevolen om volledige verwijdering te garanderen.