Cómo eliminar KandyKorn de macOS
Escrito por Tomas Meskauskas el (actualizado)
¿Qué tipo de malware KandyKorn?
Se ha descubierto recientemente un malware para macOS llamado KandyKorn en un ataque vinculado al grupo de hacking norcoreano Lazarus. Sus objetivos son ingenieros de blockchain que trabajan con plataformas de intercambio de criptodivisas. Los atacantes fingen formar parte de la comunidad de criptomonedas en Discord para compartir módulos Python, que luego ponen en marcha un complicado proceso de infección que involucra a KandyKorn.
Resumen del malware KandyKorn
KandyKorn es una carga útil de fase final altamente sofisticada utilizada como herramienta que permite a los delincuentes infiltrarse y extraer datos del ordenador comprometido. KandyKorn, que funciona de forma encubierta en segundo plano como un daemon, espera pacientemente órdenes del servidor de mando y control (C2).
Este versátil malware admite varios comandos, cada uno adaptado a múltiples propósitos. Estos comandos permiten a los atacantes realizar acciones que van desde la recopilación de información del sistema y el listado del contenido de los directorios hasta la carga y extracción de archivos, la eliminación segura de archivos, la gestión de procesos en ejecución, la ejecución de comandos del sistema e incluso el inicio de una sesión shell interactiva para un mayor control práctico.
Las consecuencias a las que pueden enfrentarse las víctimas como resultado de este versátil malware, capaz de ejecutar una amplia gama de comandos, son multifacéticas y pueden ser altamente perjudiciales.
La capacidad de KandyKorn para recopilar información del sistema y listar el contenido de los directorios permite a los atacantes obtener una visión profunda del sistema de la víctima, lo que podría conducir al robo de datos confidenciales, como credenciales de inicio de sesión, información financiera o archivos de propiedad.
Mediante la carga y exfiltración de archivos, los atacantes pueden dedicarse al robo de datos, lo que podría poner en peligro la propiedad intelectual, provocar pérdidas financieras o la violación de datos. La capacidad del malware para eliminar archivos de forma segura preocupa a las víctimas, ya que puede emplearse para cubrir sus huellas borrando las pruebas de sus actividades, lo que dificulta a los profesionales de la ciberseguridad la investigación o recuperación de los datos perdidos.
La gestión de procesos en ejecución puede interrumpir las operaciones del sistema de la víctima y provocar potencialmente la inestabilidad o caída del sistema. Además, la ejecución de comandos del sistema y el inicio de una sesión de shell interactiva otorgan a los atacantes un control significativo sobre el ordenador de la víctima, lo que les permite llevar a cabo diversas actividades maliciosas, como instalar malware adicional, alterar la configuración del sistema o lanzar ciberataques.
En general, las amplias capacidades de KandyKorn crean un amplio espectro de consecuencias potenciales para las víctimas, incluyendo violaciones de datos, pérdidas financieras, interrupciones del sistema y una invasión significativa de la privacidad.
Nombre | Malware macOS "KandyKorn" |
Tipo de amenaza | Malware para Mac, virus para Mac |
Nombres de detección | Avast (MacOS:Agent-ACF [Trj]), Combo Cleaner (Gen:Variant.Trojan.MAC.Agent.5), ESET-NOD32 (OSX/NukeSped.AE), Kaspersky (HEUR:Backdoor.OSX.Agent.ao), Lista completa de detecciones (VirusTotal) |
Síntomas | Las aplicaciones maliciosas como KandyKorn están diseñadas para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultas, por lo que no se aprecian síntomas particulares en una máquina infectada. |
Métodos de distribución | Discord, ingeniería social, archivos ZIP engañosos. |
Daños | Pérdida de dinero, robo de identidad, infecciones adicionales, pérdida de datos, interrupciones del sistema, invasión de la privacidad, etc. |
Eliminación de Malware (Mac) | Para eliminar posibles infecciones de malware, escanee su Mac con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Conclusión
En conclusión, KandyKorn es un malware para macOS altamente sofisticado asociado con el grupo de hackers Lazarus, diseñado para ataques dirigidos a ingenieros de blockchain y plataformas de intercambio de criptomonedas. Su cadena de infección de múltiples etapas, iniciada mediante la suplantación de Discord, ofrece a los atacantes una amplia gama de capacidades, desde el robo de datos y la manipulación de archivos hasta la interrupción del sistema y la ejecución de comandos.
Otros ejemplos de malware dirigido a usuarios de macOS son MetaStealer, XLoader y JokerSpy.
¿Cómo se instaló KandyKorn en mi ordenador?
El proceso de infección se inicia en Discord con un enfoque de ingeniería social diseñado para engañar a los objetivos para que descarguen un archivo ZIP engañoso llamado "Cross-platform Bridges.zip". Este archivo se hace pasar por un bot de arbitraje legítimo para el comercio de criptomonedas.
Tras extraer el contenido del archivo ZIP, se ejecuta un script de Python llamado "Main.py", que importa 13 módulos, incluido "Watcher.py", un descargador. Watcher.py procede a desempaquetar y ejecutar "testSpeed.py" mientras obtiene "FinderTools" de una URL de Google Drive.
FinderTools sirve como dropper, obteniendo y ejecutando un binario ofuscado llamado "SugarLoader". SugarLoader establece una conexión con un servidor de comando y control (C2) y carga la carga útil final, KandyKorn.
¿Cómo evitar la instalación de aplicaciones maliciosas?
Obtenga el software y los archivos únicamente de fuentes fiables (páginas oficiales y tiendas de aplicaciones), y desconfíe de los archivos adjuntos y enlaces en correos electrónicos sospechosos de procedencia desconocida. Evite hacer clic en anuncios emergentes o visitar sitios web potencialmente dañinos. Mantenga actualizados el sistema operativo, el software y los programas antivirus.
Utilice programas antivirus fiables y no descargue nunca software pirata ni herramientas diseñadas para eludir la activación del software. Si su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente todas las amenazas.
Eliminación automática instantánea de malware para Mac:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, y está recomendado para acabar con el malware de Mac. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner para Mac
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
Vídeo que demuestra cómo eliminar adware y secuestradores del navegador de un ordenador Mac:
Eliminación de aplicaciones no deseadas:
Eliminar las aplicaciones potencialmente no deseadas de la carpeta "Aplicaciones":
Haga clic en el icono del Finder. En la ventana del Finder, seleccione "Aplicaciones". En la carpeta Aplicaciones, busque "MPlayerX", "NicePlayer" u otras aplicaciones sospechosas y arrástrelas a la Papelera. Tras eliminar las aplicaciones potencialmente no deseadas que generan anuncios en línea, analice su Mac en busca de componentes restantes no deseados.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware KandyKorn, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
Formatear el dispositivo de almacenamiento es una solución drástica y debe considerarse el último recurso. Antes de hacerlo, intenta ejecutar un software de seguridad de confianza como Combo Cleaner para escanear y eliminar el malware KandyKorn.
¿Cuáles son los principales problemas que puede causar el malware?
El malware puede causar problemas importantes, como pérdida de datos, robo de identidad, fraude financiero e inestabilidad del sistema. Puede provocar el robo de información personal y financiera confidencial, así como la pérdida de datos críticos. Los programas maliciosos también pueden dañar o perturbar los sistemas informáticos, ralentizando su rendimiento y dejándolos potencialmente inoperativos. Además, puede utilizarse como herramienta para ciberataques, como los ataques distribuidos de denegación de servicio (DDoS).
¿Cuál es el objetivo del malware KandyKorn?
KandyKorn permite a los delincuentes recopilar información confidencial del sistema, listar el contenido de los directorios, cargar y filtrar archivos, eliminar archivos de forma segura, gestionar procesos en ejecución, ejecutar comandos del sistema e iniciar sesiones de shell interactivas, lo que proporciona un amplio control sobre el ordenador de la víctima.
¿Cómo se infiltró el malware KandyKorn en mi ordenador?
El malware KandyKorn se distribuye a través de un ataque de ingeniería social Discord. Las víctimas son engañadas para que descarguen un archivo ZIP engañoso que se hace pasar por un bot de arbitraje de criptomonedas. Este archivo contiene un script Python, "Main.py", que desencadena una cadena de procesos, incluyendo la ejecución de "SugarLoader", estableciendo finalmente una conexión con un servidor de comando y control (C2) y cargando KandyKorn como carga útil final.
¿Me protegerá Combo Cleaner del malware?
Combo Cleaner es capaz de detectar y eliminar casi todas las infecciones de malware conocidas. Los programas maliciosos sofisticados suelen ocultarse en lo más profundo del sistema. Por lo tanto, es esencial realizar un análisis completo del sistema.
▼ Mostrar discusión.