Comment supprimer AtlasCross RAT des appareils infectés

Quel type de malware est AtlasCross ?

AtlasCross est un cheval de Troie d'accès à distance (RAT) qui permet aux attaquants de contrôler secrètement l'ordinateur d'une victime. Il est connu que les cybercriminels ciblent principalement les utilisateurs sinophones et utilisent de faux sites de téléchargement pour des applications populaires afin de distribuer le RAT. AtlasCross est également conçu pour éviter la détection.

En savoir plus sur AtlasCross

Les cybercriminels utilisent un outil légitime appelé Setup Factory pour donner à l'installateur du maliciel une apparence légitime et sûre. Ils dissimulent AtlasCross dans plusieurs couches d'installateurs d'apparence légitime, le faisant paraître inoffensif tout en infectant secrètement le système. Les acteurs malveillants utilisent également des techniques anti-analyse pour éviter la détection par les outils de sécurité et les chercheurs.

Le RAT AtlasCross est le principal maliciel qui s'exécute après l'infection. Il se connecte au serveur de l'attaquant et prend le contrôle du système. Il se dissimule dans le dossier Windows sous un nom aléatoire et exécute plusieurs tâches, comme le blocage des outils de sécurité et la communication avec les attaquants.

Il exécute également secrètement PowerShell en interne (sans utiliser le programme PowerShell standard) et désactive les protections de sécurité, permettant aux attaquants d'exécuter des commandes sans être détectés. Le RAT communique avec son serveur de contrôle en utilisant un chiffrement puissant (ChaCha20).

Le RAT AtlasCross permet aux cybercriminels de gérer des sessions à distance, leur donnant le contrôle sur les systèmes infectés. Il peut visualiser l'écran et contrôler la souris et la saisie au clavier. Le maliciel prend également en charge l'injection de processus, lui permettant d'exécuter du code malveillant à l'intérieur d'autres programmes.

Il peut également télécharger et exécuter des fichiers supplémentaires et inclut un outil de gestion de modules qui permet aux cybercriminels de charger ou de mettre à jour différents composants du maliciel. De plus, il fournit un accès aux fichiers et des commandes shell, permettant aux acteurs malveillants de parcourir, modifier des fichiers et exécuter des commandes système à distance.

Capacités supplémentaires

AtlasCross perturbe les programmes de sécurité en bloquant leurs connexions réseau. Cela affaiblit leur capacité à protéger le système sans les fermer directement. Il surveille également les outils de sécurité et les applications courants, tels que WeChat et Telegram. Le RAT peut injecter une DLL malveillante dans WeChat pour prendre le contrôle de l'application.

Lorsqu'il reçoit une commande, il dépose un fichier DLL, trouve le processus WeChat en cours d'exécution et le force à charger le code malveillant dans sa mémoire. Cette fonctionnalité est probablement utilisée pour accéder aux messages ou voler des données de session.

De plus, AtlasCross peut placer une tâche planifiée cachée dans un dossier système Windows, de sorte qu'elle s'exécute automatiquement lorsque l'utilisateur se connecte avec des privilèges élevés. Il déguise son chemin de fichier pour éviter la détection par les outils de sécurité. Lorsqu'il doit se supprimer, il introduit un délai et ajuste les priorités des processus afin de pouvoir supprimer ses propres fichiers sans plantage ni traces.

Conclusion

AtlasCross est un RAT sophistiqué et furtif capable de prendre le contrôle des systèmes infectés, de contourner les protections de sécurité et de rester persistant. Les victimes de ces attaques peuvent rencontrer des problèmes tels que l'usurpation d'identité, le détournement de comptes, des infections supplémentaires, des pertes financières, etc. Si un système est infecté par AtlasCross, le RAT doit être supprimé immédiatement.

D'autres exemples de RAT sont CrySome, CrystalX, et GHOSTFORM.

Comment AtlasCross s'est-il infiltré dans mon ordinateur ?

AtlasCross est distribué par le biais de faux installateurs téléchargés depuis des sites web de typosquattage (par exemple, www-surfshark[.]com) qui imitent des sites de téléchargement de logiciels légitimes. Ces sites proposent des outils tels que Surfshark, Signal, Telegram, Zoom, Microsoft Teams, des clients VPN, des messageries, des applications de visioconférence, des outils de suivi de cryptomonnaies et des applications de commerce électronique.

Ils sont conçus pour télécharger un fichier ZIP contenant un installateur multicouche qui semble légitime et est signé avec un certificat volé. Une fois exécuté, il installe une application leurre (par exemple, UltraViewer) accompagnée de composants malveillants cachés, puis charge le RAT en mémoire à travers plusieurs étapes.

Autres exemples de faux sites utilisés pour distribuer des installateurs malveillants : app-zoom[.]com, eyy-eyy[.]com, kefubao-pc[.]com, quickq-quickq[.]com, signal-signal[.]com, telegrtam.com[.]cn, trezor-trezor[.]com, ultraviewer-cn[.]com, wwtalk-app[.]com, www-surfshark[.]com et www-teams[.]com.

Comment éviter l'installation de maliciels ?

Soyez prudent avec les courriels qui semblent inattendus ou proviennent d'expéditeurs inconnus, surtout s'ils contiennent des liens ou des pièces jointes. Si les fichiers ou les liens dans de tels messages semblent suspects, ne les ouvrez pas. Évitez également d'interagir avec les fenêtres pop-up, les publicités ou les invites sur des sites web non fiables, et n'autorisez pas les notifications provenant de pages douteuses.

Téléchargez les logiciels et les fichiers à partir de sources officielles ou de magasins d'applications vérifiés, et évitez les programmes craqués, les logiciels piratés ou les générateurs de clés. Assurez-vous que votre système d'exploitation et vos applications sont maintenus à jour.

Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'exécuter une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement les maliciels infiltrés.

Faux sites web distribuant des installateurs malveillants contenant AtlasCross (source : hexastrike.com) :

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce qu'AtlasCross ?
• ÉTAPE 1. Suppression manuelle du maliciel AtlasCross.
• ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement les maliciels ?

La suppression manuelle des maliciels est une tâche compliquée - il est généralement préférable de laisser les programmes antivirus ou anti-maliciel le faire automatiquement. Pour supprimer ce maliciel, nous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer les maliciels manuellement, la première étape consiste à identifier le nom du maliciel que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple en utilisant le gestionnaire des tâches, et identifié un programme qui semble suspect, vous devriez continuer avec ces étapes :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le Registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en Mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en Mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec prise en charge réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 8 : Démarrez Windows 8 en Mode sans échec avec prise en charge réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de recherche sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre « Paramètres généraux du PC » ouverte, sélectionnez Démarrage avancé.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va maintenant redémarrer dans le « Menu des options de démarrage avancées ». Cliquez sur le bouton « Résolution des problèmes », puis cliquez sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera sur l'écran des paramètres de démarrage. Appuyez sur F5 pour démarrer en Mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu ouvert, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » enfoncée sur votre clavier. Dans la fenêtre « Choisir une option », cliquez sur « Résolution des problèmes », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en Mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec prise en charge réseau » :

Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin complet et son nom. Notez que certains maliciels masquent les noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, faites un clic droit sur son nom et choisissez « Supprimer ».

Après avoir supprimé le maliciel via l'application Autoruns (cela garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du maliciel, assurez-vous de le supprimer.

Redémarrez votre ordinateur en mode normal. En suivant ces étapes, vous devriez supprimer tout maliciel de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des maliciels aux programmes antivirus et anti-maliciel.

Ces étapes pourraient ne pas fonctionner avec les infections de maliciels avancées. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer les maliciels ultérieurement. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections par des maliciels, nous vous recommandons de l'analyser avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le maliciel AtlasCross, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Cette mesure peut éliminer AtlasCross, mais elle supprimera également tous les fichiers et données du périphérique. Pour cette raison, il est souvent recommandé d'essayer d'abord de le supprimer avec une solution de sécurité réputée, telle que Combo Cleaner, avant de recourir au reformatage.

Quels sont les plus grands problèmes que les maliciels peuvent causer ?

Les maliciels peuvent effectuer un large éventail d'actions nuisibles, telles que la suppression ou la corruption de fichiers, le dépôt de charges utiles malveillantes supplémentaires et la collecte d'informations sensibles. Cela peut entraîner des conséquences graves comme l'usurpation d'identité, des pertes financières, un accès non autorisé aux comptes et une perte irréversible de données.

Quel est l'objectif d'AtlasCross ?

L'objectif d'AtlasCross est d'agir comme un cheval de Troie d'accès à distance qui donne aux attaquants le contrôle des ordinateurs infectés. Il est principalement utilisé pour espionner les utilisateurs, voler des données, exécuter des commandes à distance et maintenir un accès à long terme.

Comment AtlasCross s'est-il infiltré dans mon ordinateur ?

AtlasCross est propagé par le biais d'installateurs malveillants sur de faux sites web qui imitent des logiciels de confiance comme Surfshark, Signal, Telegram, Zoom, Microsoft Teams, des VPN et d'autres applications populaires. Ces sites fournissent un fichier ZIP contenant un installateur apparemment légitime signé avec un certificat volé. Lorsqu'il est exécuté, il installe une application leurre (comme UltraViewer) tout en chargeant secrètement le RAT.

Combo Cleaner me protégera-t-il contre les maliciels ?

Oui, Combo Cleaner peut détecter et supprimer la plupart des infections par des maliciels connus. Cependant, les menaces avancées se cachent souvent profondément dans le système, il est donc important d'effectuer une analyse complète du système pour s'assurer que rien n'est manqué.