Hoe MODBEACON RAT van het besturingssysteem te verwijderen

Trojan

Ook bekend als: MODBEACON remote access trojan

Schade niveau:

Doe een gratis scan en controleer of uw computer is geïnfecteerd.

VERWIJDER HET NU

Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Wat voor soort malware is MODBEACON RAT?

MODBEACON is een Remote Access Trojan (RAT) waarmee een externe operator heimelijk toegang krijgt tot een geïnfecteerde Windows-computer, opdrachten kan uitvoeren en extra plug-ins kan laden terwijl deze verborgen blijft in het geheugen.

Volgens onderzoek gepubliceerd door Qianxin Threat Intelligence Center wordt MODBEACON gebruikt in een campagne die de onderzoekers "Operation Phnom Penh" noemen, uitgevoerd door een hybride bedreigingsactor die wordt gevolgd als Silver Fox, ook wel "Ghost Distributor" genoemd.

Deze groep combineert grootschalige softwarevervalsing met meer gerichte operaties, waaronder campagnes tegen de online goksector van Cambodja die gebruikmaken van lokmiddelen in de Khmer-taal.

MODBEACON RAT

Meer over MODBEACON

MODBEACON is geschreven in Rust en draait volledig in het geheugen op 64-bit Windows-systemen, waardoor antivirusprogramma's het moeilijker op de schijf kunnen ontdekken. Zodra het actief is, communiceert het met zijn Command and Control-server via gRPC over HTTP/2, en het volledige kanaal is verpakt in TLS-versleuteling, vergelijkbaar met normaal beveiligd webverkeer.

Voordat het opdrachten aanneemt, maakt MODBEACON een vingerafdruk van de host, waarbij een profiel wordt opgebouwd van de machine waarop het is beland, en authenticeert zichzelf bij de C2-server met een lange agent-token. Hierdoor kan de operator precies bevestigen met welk slachtoffer hij te maken heeft en instructies sturen die bedoeld zijn voor dat specifieke apparaat.

Plugin-gebaseerd ontwerp en externe opdrachten

MODBEACON bevat niet vanaf het begin elke mogelijkheid. In plaats daarvan gebruikt het een plugin-gebaseerde architectuur, en de operators kunnen extra native modules in het geheugen pushen, ze laden en weer verwijderen zodra ze klaar zijn.

Dit houdt de kern-trojan klein terwijl een aanvaller toch op verzoek nieuwe functies kan toevoegen, zoals verdere verkenning, bestandstoegang of extra payloads. De malware verstuurt ook regelmatig heartbeat- en statusrapporten, waardoor de C2-server weet dat de geïnfecteerde machine online en klaar is voor nieuwe opdrachten.

Persistentie en ontwijking van beveiliging

Om een herstart te overleven, stelt MODBEACON een WMI-gebeurtenisabonnement in dat een verborgen timerobject aanmaakt, samen met geplande taken en een Windows-service, zodat ten minste één mechanisme de malware herstart als een ander wordt verwijderd.

Het maakt ook een globale mutex aan zodat er slechts één kopie van zichzelf tegelijk draait. Aan de netwerkkant vermomt MODBEACON zijn C2-verkeer met behulp van een transportlaag die is gemodelleerd naar anti-censuur proxytools, waardoor het kwaadaardige HTTP/2- en gRPC-verkeer lijkt op legitiem versleuteld verkeer en het gemakkelijker langs netwerkgebaseerde detectie glipt.

Overzicht van de dreiging:
Naam MODBEACON remote access trojan
Type Dreiging Remote Access Trojan (RAT)
Detectienamen Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Volledige Lijst (VirusTotal)
Symptomen Remote Access Trojans zijn ontworpen om de computer van het slachtoffer heimelijk te infiltreren en stil te blijven, en dus zijn er geen bijzondere symptomen duidelijk zichtbaar op een geïnfecteerde machine.
Distributiemethoden Nepwebsites, kwaadaardige software-installatieprogramma's.
Schade Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet, extra infecties, geldverlies, accountkaping.
Gerelateerde Vervalste Domeinen sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn
Malware verwijderen (Windows)

Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken.

Combo Cleaner voor Windows Downloaden

Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Conclusie

MODBEACON geeft zijn operators voortdurende, verborgen toegang tot een geïnfecteerde computer, de mogelijkheid om naar believen nieuwe plugins te pushen, en een netwerkkanaal dat is gebouwd om beveiligingsmonitoring te ontwijken. Computers die met deze RAT zijn geïnfecteerd lopen risico op verdere payloads, gegevensdiefstal en langdurige heimelijke bewaking, dus het moet worden verwijderd zodra het wordt gedetecteerd.

Meer voorbeelden van RATs zijn RemotePE, Navi, en Banana.

Hoe is MODBEACON RAT op mijn computer terechtgekomen?

Volgens het onderzoek van Qianxin Threat Intelligence Center wordt MODBEACON verspreid door de Silver Fox-groep, ook wel "Ghost Distributor" genoemd, met behulp van SEO-poisoning-campagnes die vervalste downloadpagina's voor populaire software op de Chinese markt hoog in de zoekresultaten plaatsen, zodat slachtoffers die op zoek zijn naar een legitiem programma in plaats daarvan op een nepsite belanden.

De waargenomen vervalste pagina's doen zich voor als een breed scala aan alledaagse hulpmiddelen, waaronder de Sogou Input Method, VPN-apps die worden verkocht onder namen als "闪连VPN" en "快喵VPN", de Letstalk-berichtenapp, de MuMu Android-emulator, het 爱思助手 (i4Tools) iOS-beheerhulpmiddel, en zelfs de Sandboxie-sandboxtool die verkeerd is gelabeld als een vertaalprogramma. Elk installatieprogramma levert MODBEACON in plaats van, of naast, de geadverteerde software.

Dezelfde actor heeft afzonderlijk campagnes uitgevoerd tegen de online goksector in Cambodja met behulp van Khmer-talige phishing-lokmiddelen, wat aantoont dat de groep zijn aanpak afstemt op verschillende slachtoffergroepen. Meer in het algemeen bereiken dreigingen zoals MODBEACON slachtoffers ook via geïnfecteerde e-mailbijlagen, kwaadaardige advertenties en andere onbetrouwbare downloadkanalen.

Hoe kunt u de installatie van malware vermijden?

Download software altijd rechtstreeks van de website van de officiële leverancier in plaats van te vertrouwen op zoekmachine-resultaten, aangezien SEO-vergiftigde pagina's boven de echte downloadpagina kunnen ranken en er bijna identiek uit kunnen zien. Wees voorzichtig met onverwachte e-mailbijlagen en links, en controleer de domeinnaam van een site dubbel voordat u iets downloadt.

Houd uw besturingssysteem en applicaties bijgewerkt, en vertrouw op een gerenommeerd beveiligingshulpmiddel in plaats van ervan uit te gaan dat een programma veilig is alleen omdat het bovenaan een zoekopdracht verscheen. Als u denkt dat uw computer al geïnfecteerd is, raden wij aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Nepwebsites die kwaadaardige installatieprogramma's verspreiden die MODBEACON RAT bevatten:

Nep-Sogou Input Method-website die MODBEACON RAT verspreidt Nep-Lightning VPN-website die MODBEACON RAT verspreidt Nep-Kuaimiao VPN-website die MODBEACON RAT verspreidt Nep-Letstalk-website die MODBEACON RAT verspreidt Nep-vertaalhulpmiddel-website die MODBEACON RAT verspreidt Nep-MuMu-emulator-website die MODBEACON RAT verspreidt Nep-i4Tools-website die MODBEACON RAT verspreidt Nep-Lightning VPN-website die MODBEACON RAT verspreidt Nep-Kuaimiao VPN-website die MODBEACON RAT verspreidt Nep-Kuaimiao VPN-website die MODBEACON RAT verspreidt Nep-Lightning VPN-website die MODBEACON RAT verspreidt

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

DOWNLOAD Combo Cleaner

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

Hoe verwijdert u malware handmatig?

Handmatige malwareverwijdering is een gecompliceerde taak - meestal is het het beste om antivirus- of anti-malwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

Malwareproces dat draait in Taakbeheer

Als u de lijst met programma's die op uw computer draaien heeft gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma heeft geïdentificeerd dat er verdacht uitziet, moet u met deze stappen doorgaan:

handmatige malwareverwijdering stap 1Download een programma genaamd Autoruns. Dit programma toont automatisch startende applicaties, Register- en bestandssysteemlocaties:

Uiterlijk van de Autoruns-applicatie

handmatige malwareverwijdering stap 2Herstart uw computer in de Veilige Modus:

Windows XP- en Windows 7-gebruikers: Start uw computer op in de Veilige Modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstartproces van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde Windows-opties ziet, en selecteer vervolgens Veilige Modus met Netwerkmogelijkheden uit de lijst.

Windows 7 of Windows XP starten in Veilige Modus met Netwerkmogelijkheden

Video die laat zien hoe u Windows 7 start in "Veilige Modus met Netwerkmogelijkheden":

Windows 8-gebruikers: Start Windows 8 in Veilige Modus met Netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.

Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het "Menu Geavanceerde opstartopties". Klik op de knop "Problemen oplossen", en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".

Klik op de knop "Opnieuw opstarten". Uw pc zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige Modus met Netwerkmogelijkheden.

Windows 8 starten in Veilige Modus met Netwerkmogelijkheden

Video die laat zien hoe u Windows 8 start in "Veilige Modus met Netwerkmogelijkheden":

Windows 10-gebruikers: Klik op het Windows-logo en selecteer het Aan/uit-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "kies een optie" op "Problemen oplossen", selecteer vervolgens "Geavanceerde opties".

Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de knop "F5" op uw toetsenbord klikken. Dit zal uw besturingssysteem opnieuw opstarten in de veilige modus met netwerkmogelijkheden.

Windows 10 starten in Veilige Modus met Netwerkmogelijkheden

Video die laat zien hoe u Windows 10 start in "Veilige Modus met Netwerkmogelijkheden":

handmatige malwareverwijdering stap 3Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Pak het Autoruns.zip-archief uit en voer de Autoruns.exe-applicatie uit

handmatige malwareverwijdering stap 4Klik in de Autoruns-applicatie bovenaan op "Options" en schakel de opties "Hide Empty Locations" en "Hide Windows Entries" uit. Klik na deze procedure op het pictogram "Refresh".

Autoruns-applicatieresultaten vernieuwen

handmatige malwareverwijdering stap 5Controleer de lijst die door de Autoruns-applicatie wordt verstrekt en zoek het malwarebestand dat u wilt verwijderen.

U moet het volledige pad en de naam ervan noteren. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma dat u wilt verwijderen heeft gevonden, klikt u met de rechtermuisknop op de naam ervan en kiest u "Delete".

Malware verwijderen in Autoruns

Nadat u de malware via de Autoruns-applicatie heeft verwijderd (dit zorgt ervoor dat de malware niet automatisch draait bij de volgende systeemstart), moet u op uw computer naar de malwarenaam zoeken. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, zorg er dan voor dat u deze verwijdert.

Zoek naar malware en verwijder deze

Herstart uw computer in de normale modus. Als u deze stappen volgt zou alle malware van uw computer verwijderd moeten worden. Merk op dat handmatige dreigingsverwijdering geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet heeft, laat de malwareverwijdering dan over aan antivirus- en anti-malwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan te proberen malware later te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates van het besturingssysteem en gebruikt u antivirussoftware. Om zeker te zijn dat uw computer vrij is van malware-infecties, raden wij aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde Vragen (FAQ)

Mijn computer is geïnfecteerd met MODBEACON RAT-malware, moet ik mijn opslagapparaat formatteren om ervan af te komen?

Formatteren verwijdert MODBEACON RAT, maar wist ook elk bestand op de schijf. Een gerenommeerd beveiligingshulpmiddel zoals Combo Cleaner moet gewoonlijk eerst worden geprobeerd.

Wat zijn de grootste problemen die MODBEACON RAT-malware kan veroorzaken?

MODBEACON RAT kan aanvallers voortdurende externe toegang tot uw computer geven en hen naar believen extra kwaadaardige plugins laten laden. Dit kan leiden tot gegevensdiefstal, verdere infecties en langdurige heimelijke bewaking.

Wat is het doel van MODBEACON RAT-malware?

Het doel van MODBEACON RAT is om zijn operators heimelijke, persistente externe toegang tot geïnfecteerde Windows-computers te geven zodat zij opdrachten kunnen uitvoeren en extra plugins kunnen laden terwijl detectie wordt vermeden.

Hoe is MODBEACON RAT-malware op mijn computer terechtgekomen?

MODBEACON RAT is verspreid via vervalste installatieprogramma's van populaire software zoals VPN-apps, invoermethoden, emulators en iOS-beheerhulpmiddelen, die via SEO-vergiftigde zoekresultaten naar slachtoffers werden gepusht.

Zal Combo Cleaner mij beschermen tegen malware?

Ja. Combo Cleaner kan de meeste bekende malware detecteren en verwijderen. Omdat dreigingen zoals MODBEACON RAT zijn ontworpen om zich diep in het systeem te verbergen, wordt aangeraden een volledige systeemscan uit te voeren om er zeker van te zijn dat er niets wordt gemist.

Delen:

facebook
X (Twitter)
linkedin
link kopiëren
Tomas Meskauskas

Tomas Meskauskas

Deskundig beveiligingsonderzoeker, professioneel malware-analist

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.

▼ Toon discussie

Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.

Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Doneren