Wie man CarnavalHeist von infizierten Geräten entfernt
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist CarnavalHeist?
CarnavalHeist ist ein Banking-Trojaner, der auf Benutzer in Brasilien abzielt. Er ist in der Lage, Bankdaten zu stehlen und andere Aktionen auszuführen. Wenn ein Gerät mit CarnavalHeist infiziert ist, kann dies zu finanziellen Verlusten, Identitätsdiebstahl und anderen Problemen führen. Daher sollte CarnavalHeist so schnell wie möglich von infizierten Geräten entfernt werden.
Mehr über CarnavalHeist
CarnavalHeist kann Bankdaten durch Overlay-Angriffe stehlen. Er kann ein gefälschtes Fenster über legitimen Bankanwendungen anzeigen, um Benutzer zur Preisgabe persönlicher Informationen (z. B. IDs, Benutzernamen und Passwörter) zu verleiten. Er überwacht bestimmte Fenstertitel und blendet bei einer Übereinstimmung das Originalfenster aus und zeigt ein entsprechendes Overlay an.
CarnavalHeist bietet verschiedene Möglichkeiten der Datenerfassung, die automatisch oder über Befehle, die über den Command and Control Server empfangen werden, ausgelöst werden können. Es verwendet ein modifiziertes Protokoll von einem Delphi Remote Access Client, ähnlich dem, das von Mekotio und Casbaneiro Malware. Dieses Protokoll ermöglicht den Angreifern die Ausführung von etwa 80 Befehlen.
Zu diesen Befehlen gehören das Aufzeichnen von Tastatureingaben, das Erstellen von Screenshots, das Aufzeichnen von Videos und die Fernsteuerung des Geräts. CarnavalHeist verfügt auch über die Möglichkeit der Fernsteuerung über AnyDesk, so dass die Angreifer während der Bankgeschäfte bestimmte Aktionen auf dem Gerät des Opfers durchführen können.
Außerdem kann die Malware QR-Codes generieren und erfassen, um Transaktionen auf Konten umzuleiten, die von Bedrohungsakteuren kontrolliert werden. Darüber hinaus protokolliert CarnavalHeist Maus- und Tastatureingaben und offenbart PINs und andere sensible Details, wenn Opfer Transaktionen über legitime Dienste durchführen.
Insgesamt kann es vorkommen, dass Benutzern, deren Geräte mit CarnavalHeist infiziert sind, ihre Bankdaten gestohlen werden, was zu unbefugtem Zugriff auf ihre Finanzkonten führt. Angreifer können Transaktionen abfangen und umleiten, was zu finanziellen Verlusten führen kann. Darüber hinaus kann die Malware Tastatur- und Mauseingaben abfangen und so sensible Informationen wie PINs und andere Sicherheits-Token preisgeben.
| Name | CarnavalHeist Banking-Trojaner |
| Art der Bedrohung | Banking-Trojaner |
| Erkennung Namen | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Heur.Banker.Delf.1), ESET-NOD32 (Eine Variante von Win32/Spy.Banker.AEPR), Kaspersky (HEUR:Trojan-Banker.Win32.BertRAT.gen), Microsoft (Trojan:Win32/Banker!MSR), vollständige Liste (VirusTotal) |
| Symptome | Banking-Trojaner sind in der Regel so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Gerät keine besonderen Symptome zu erkennen sind. |
| Vertriebsmethoden | Infizierte E-Mail-Anhänge, bösartige Websites, Social Engineering. |
| Schaden | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, finanzielle Verluste. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass CarnavalHeist eine ernsthafte Bedrohung für die Opfer darstellt. Seine Fähigkeit, gefälschte Anmeldebildschirme zu generieren, in Verbindung mit umfassenden Datenerfassungs- und Fernsteuerungsfunktionen, ermöglicht es Bedrohungsakteuren, Anmeldedaten (und andere sensible Informationen) zu stehlen und Transaktionen zu manipulieren (Geld zu stehlen).
Um diese Bedrohung zu vermeiden, müssen Nutzer bei der Nutzung von Online-Banking-Plattformen Vorsicht walten lassen und Cybersicherheitsmaßnahmen zum Schutz ihres finanziellen Wohlergehens Priorität einräumen.
Wie hat CarnavalHeist meinen Computer infiltriert?
CarnavalHeist nutzt einen ausgeklügelten Social-Engineering-Angriff, der als Finanzdokument getarnt ist, um die Zugangsdaten von Benutzern zu kompromittieren und möglicherweise sensible Finanzdaten zu stehlen. Der Angriff beginnt mit einer gefälschten Rechnungs-E-Mail. Das Anklicken des Links führt zu einer Webseite, die eine Plattform zum Herunterladen von Rechnungen imitiert.
Von dieser gefälschten Website wird eine als PDF getarnte bösartige Datei heruntergeladen, die heimlich die nächste Stufe des Angriffs einleitet (diese Fälschung führt einen Befehl aus, der eine bösartige Komponente ausführen soll), was zur Infiltration von CarnavalHeist führt.
Wie kann man die Installation von Malware vermeiden?
Verwenden Sie offizielle Websites und App-Stores, um Software oder Dateien herunterzuladen. Verwenden Sie keine Drittanbieter-Quellen und laden Sie keine raubkopierte Software, Cracking-Tools oder inoffizielle Schlüsselgeneratoren herunter. Seien Sie vorsichtig mit E-Mails, die Links oder Dateien enthalten, sowie mit Pop-ups, Anzeigen und Schaltflächen auf fragwürdigen Webseiten. Lassen Sie auch nicht zu, dass verdächtige Websites Benachrichtigungen anzeigen.
Deaktivieren Sie bei Installationen unerwünschte Anwendungen (falls es unerwünschte Angebote in Installationsprogrammen gibt). Aktualisieren Sie regelmäßig das Betriebssystem und die installierte Software. Verwenden Sie außerdem ein seriöses Sicherheitstool (oder Tools). Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Bösartiger Anhang mit einem Link zu einer gefälschten Webseite, die CarnavalHeist hostet (Quelle: Talos Intelligence):
Text in der betrügerischen E-Mail:
Subject: Nota Eletronica emitidat - 0808482.5176
Nota Eletronica emitida
Prezado Cliente,
Informamos que foi emitida a seguinte nota fiscal:
Número da Nota Fiscal: 08084282.5176
Data: 15 de Abril, 2024
Valor: R$ 545,00Para visualizar a nota fiscal, clique no botão abaixo:
Visualizar Nota Fiscal
Betrügerische Website, die über eine betrügerische E-Mail beworben wird (Quelle: Talos Intelligence):
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist CarnavalHeist?
- SCHRITT 1. Manuelle Entfernung von CarnavalHeist-Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit Task-Manager, und ein verdächtig erscheinendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registry und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Windows XP- und Windows 7-Benutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Vernetzung - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie im Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neustart". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 10 Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Im geöffneten Menü klicken Sie auf "Neustart", während Sie die "Umschalt"-Taste auf Ihrer Tastatur gedrückt halten. Im Fenster "Option auswählen" klicken Sie auf "Problembehandlung", danach wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Anwendung Autoruns oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Orte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Prüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich den vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, müssen Sie sie entfernen.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, sollten Sie die Entfernung von Malware Antiviren- und Anti-Malware-Programmen überlassen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit CarnavalHeist-Malware infiziert. Sollte ich mein Speichermedium formatieren, um die Malware loszuwerden?
Es wird empfohlen, ein seriöses Antiviren- und Anti-Malware-Programm zu verwenden, um Ihr Gerät auf CarnavalHeist zu scannen und die Entfernung zu versuchen. Durch das Formatieren eines Speichermediums werden alle Daten gelöscht, daher sollte es nur dann durchgeführt werden, wenn andere Methoden fehlschlagen.
Was sind die größten Probleme, die Malware verursachen kann?
Malware kann durch Verschlüsselung und auf andere Weise Datenverluste, finanzielle Verluste, Identitätsdiebstahl, Verlust des Zugangs zu Online-Konten, zusätzliche Infektionen und ähnliche Probleme verursachen.
Was ist der Zweck der CarnavalHeist-Malware?
CarnavalHeist zielt auf Bankbenutzer mit dem Ziel ab, ihre Finanzinformationen zu stehlen. Er bringt sie dazu, ihre Anmeldedaten preiszugeben und andere sensible Daten zu erfassen.
Wie ist die Malware CarnavalHeist in meinen Computer eingedrungen?
Sie haben wahrscheinlich auf einen bösartigen Link in einer betrügerischen E-Mail geklickt. Dadurch wurde eine gefälschte PDF-Datei heruntergeladen, die CarnavalHeist startete. Phishing-E-Mails sind der übliche Einstiegspunkt für CarnavalHeist.
Wird Combo Cleaner mich vor Malware schützen?
Combo Cleaner erkennt und entfernt eine breite Palette von Malware effektiv. Selbst bei fortgeschrittener Malware kann ein gründlicher Systemscan mit Combo Cleaner zu einer erfolgreichen Entfernung führen.
Ausgezeichnet!
▼ Diskussion einblenden