Instrucciones de eliminación del malware CustomerLoader
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es CustomerLoader?
CustomerLoader es un programa malicioso diseñado para causar infecciones en cadena. En otras palabras, carga componentes y programas maliciosos adicionales en los dispositivos infectados. Todas las infecciones conocidas de CustomerLoader se basaban en el troyano inyector DotRunpeX para infiltrar la carga útil final. Más de cuarenta familias de malware proliferaron de esta manera.
La comunidad de ciberseguridad tuvo conocimiento por primera vez de la existencia de CustomerLoader en junio de 2023; sin embargo, hay indicios que sugieren que este malware lleva activo al menos desde mayo del mismo año.
Debido a la variedad de métodos de distribución implementados para CustomerLoader, es probable que los desarrolladores del programa lo estén ofreciendo como un servicio - por lo tanto, el malware es utilizado por múltiples actores de amenazas.
Visión general del malware CustomerLoader
CustomerLoader emplea varias técnicas antidetección y antianálisis. El programa se disfraza de aplicación legítima e incluye código ofuscado. También emplea tácticas para eludir la detección por parte de herramientas antivirus.
Tras infiltrarse con éxito, CustomerLoader carga DotRunpeX. Este malware de tipo inyector también emplea diversas técnicas antidetección.
Como se mencionó anteriormente, se ha observado que las campañas de CustomerLoader (a través de DotRunpeX) se utilizan para más de cuarenta familias de malware, como varios cargadores, RAT (troyanos de acceso remoto), ladrones de datos y ransomware.
Las cargas útiles finales incluyen (pero no se limitan a): Amadey, LgoogLoader; Agente Tesla, AsyncRAT, BitRAT, NanoCore, njRat, Quasar, Remcos, Sectop, Warzone, XWorm; DarkCloud, Formbook, Kraken, Lumma, Raccoon, RedLine, Stealc, StormKitty, Vidar; variantes de WannaCry, ransomware Tzw, etc.
En resumen, las infecciones de malware de alto riesgo pueden provocar una disminución del rendimiento del sistema o fallos, pérdida de datos, graves problemas de privacidad, pérdidas financieras y robo de identidad.
Si sospecha que su dispositivo está infectado con CustomerLoader (o cualquier otro malware), realice inmediatamente un análisis completo del sistema con un antivirus y elimine todas las amenazas.
Nombre | CustomerLoader virus |
Tipo de amenaza | Troyano, Cargador. |
Nombres de detección | Avast (Win64:SpywareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.67808277), ESET-NOD32 (Una variante de Generik.IGRGAQO), Kaspersky (HEUR:Trojan-Spy.MSIL.Stealer.gen), Microsoft (Trojan:Win32/Leonem), Lista completa de detecciones (VirusTotal) |
Dominios relacionados y detecciones en VirusTotal | slackmessenger[.]pw, slackmessenger[.]site, telegra[.]ph |
Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada. |
Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una red de bots. |
Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de programas maliciosos de tipo cargador
Hemos investigado miles de muestras de malware; Pikabot, Bumblebee y GootLoader son sólo algunos ejemplos de programas de tipo cargador.
El software malicioso puede ser muy versátil e incluir varios tipos de funcionalidades. Las amenazas que plantea una infección dependen de las capacidades del programa y de los objetivos de los ciberdelincuentes. Sin embargo, independientemente de cómo funcione o se utilice el malware, su presencia en un sistema pone en peligro la seguridad del dispositivo y del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.
¿Cómo se infiltró CustomerLoader en mi ordenador?
Como se mencionó en la introducción, lo más probable es que CustomerLoader sea utilizado por múltiples actores de amenazas. Se ha observado que este cargador se propaga a través de sitios web maliciosos, vídeos de YouTube y correos electrónicos de phishing. En la mayoría de los casos conocidos, el malware llegó a los sistemas como un ejecutable en un archivo ZIP.
Para profundizar en las cadenas de infección observadas, se han conectado más de cincuenta dominios a CustomerLoader. Los sitios engañosos afirmaban alojar diversos videojuegos, plug-ins de ratón, plug-ins VST (Virtual Studio Technology), software de conferencias/mensajería y otros contenidos. Una vez que la víctima seleccionaba la opción "descargar", era redirigida a una página maliciosa que albergaba el malware.
Por ejemplo, CustomerLoader se ha distribuido a través de una página web de descarga falsa para el software de mensajería instantánea y videoconferencia Slack; la carga útil final de esta campaña era el robador RedLine.
Se utilizaron más de cien cuentas de YouTube robadas para promocionar enlaces de descarga de programas pirateados. Tras hacer clic en ellos, los usuarios eran redirigidos a sitios en los que se les indicaba cómo desactivar su Microsoft Defender. Después, descargaban un archivo protegido con contraseña (que supuestamente contenía el software "crackeado"); esta cadena de CustomerLoader culminaba en una infección con Raccoon stealer.
Los correos spam detectados se presentaban como la continuación de una conversación inexistente. Los correos incluían imágenes de un documento PDF que ocultaba un hipervínculo que dirigía a las víctimas a la descarga de un archivo ZIP que contenía CustomerLoader.
Debido a la multitud de ciberdelincuentes que utilizan CustomerLoader, es seguro que este programa prolifera también utilizando otros métodos.
La ingeniería social es habitual en la distribución de malware, al igual que la presentación de archivos maliciosos bajo la apariencia de software/medios legítimos o de aspecto inocente. Además de ejecutables y archivos, los archivos infecciosos pueden ser documentos (por ejemplo, PDF, Microsoft Office, Microsoft OneNote, etc.), JavaScript y otros.
En general, los programas maliciosos se propagan más a través de archivos adjuntos y enlaces maliciosos en el correo basura (p. ej., correos electrónicos, MP/DM, SMS, etc.), estafas en línea, publicidad maliciosa, descargas "drive-by" (furtivas/engañosas), programas pirateados, herramientas ilegales de activación de software ("cracking") y actualizaciones falsas. Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Cómo evitar la instalación de programas maliciosos?
Recomendamos encarecidamente tener cuidado al navegar, ya que los contenidos falsos y maliciosos suelen parecer legítimos e inocuos. Además, los correos electrónicos y mensajes entrantes deben tratarse con precaución. Se desaconseja abrir archivos adjuntos o enlaces encontrados en correos sospechosos, ya que pueden ser maliciosos.
Otra recomendación es descargar sólo de canales oficiales y verificados. Igual de importante es activar y actualizar el software utilizando funciones/herramientas legítimas, ya que las adquiridas a terceros pueden contener malware.
Debemos insistir en que tener instalado y actualizado un antivirus de confianza es primordial para la seguridad del dispositivo/usuario. Los programas de seguridad deben utilizarse para ejecutar análisis periódicos del sistema y eliminar las amenazas y problemas detectados. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Malware CustomerLoader promocionado en un sitio web falso de descarga de software Slack:
Malware CustomerLoader promocionado en un falso sitio web de descarga de software "crackeado":
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es CustomerLoader?
- PASO 1. Eliminación manual del malware CustomerLoader.
- PASO 2. Compruebe si su ordenador está limpio.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, mediante el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reinicie su ordenador en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haz clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de arranque del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red de la lista.
Vídeo que muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haz clic en "Configuración de inicio".
Haz clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulsa F5 para arrancar en Modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haz clic en "Reiniciar" mientras mantienes pulsada la tecla "Mayúsculas" del teclado. En la ventana "Elegir una opción", haga clic en "Solucionar problemas" y, a continuación, seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana debes pulsar la tecla "F5" de tu teclado. Esto reiniciará su sistema operativo en modo seguro con conexión en red.
Vídeo que muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Extrae el archivo descargado y ejecuta el archivo Autoruns.exe.
En la aplicación Autoruns, haz clic en "Opciones" en la parte superior y desmarca las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Tras este procedimiento, haz clic en el icono "Actualizar".
Compruebe la lista proporcionada por la aplicación Autoruns y localice el archivo malicioso que desea eliminar.
Anota su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrate de activar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicia el ordenador en modo normal. Siguiendo estos pasos debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de programas maliciosos en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador seguro, instala las últimas actualizaciones del sistema operativo y utiliza software antivirus. Para asegurarte de que tu ordenador está libre de infecciones de malware, te recomendamos escanearlo con Combo Cleaner.
Preguntas más frecuentes (FAQ)
Mi ordenador está infectado con el malware CustomerLoader, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
La mayoría de los programas maliciosos pueden eliminarse sin recurrir al formateo.
¿Cuáles son los mayores problemas que puede causar el malware CustomerLoader?
Las amenazas que plantea un programa dependen de sus funcionalidades y de los objetivos de los ciberdelincuentes. En el caso de CustomerLoader, las amenazas exactas son difíciles de precisar, ya que este programa está diseñado para infectar sistemas con otro malware, y múltiples actores de amenazas lo utilizan. En general, las infecciones de alto nivel pueden provocar una disminución del rendimiento del sistema o fallos, pérdida de datos, graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cuál es la finalidad del malware CustomerLoader?
En la mayoría de los casos, el malware se utiliza con fines lucrativos. Sin embargo, los ciberdelincuentes también pueden utilizar software malicioso para divertirse, llevar a cabo venganzas personales, interrumpir procesos (por ejemplo, sitios, servicios, empresas, etc.) e incluso lanzar ataques con motivaciones políticas/geopolíticas.
¿Cómo se infiltró el malware CustomerLoader en mi ordenador?
Se ha observado que CustomerLoader se distribuye a través de correos electrónicos de phishing, sitios web maliciosos y enlaces promocionados en cuentas de YouTube robadas. Sin embargo, es probable que también prolifere utilizando otros métodos.
Entre las técnicas más utilizadas se encuentran: descargas no autorizadas (drive-by downloads), estafas en línea, correos electrónicos y mensajes de spam, publicidad maliciosa, fuentes de descarga dudosas (por ejemplo, sitios web de programas gratuitos y de terceros, redes de intercambio P2P, etc.), herramientas ilegales de activación de programas ("cracks") y actualizaciones falsas. Además, algunos programas maliciosos pueden autopropagarse a través de redes locales y dispositivos de almacenamiento extraíbles.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner es capaz de detectar y eliminar prácticamente todas las infecciones de malware conocidas. Cabe destacar que, dado que el software malicioso de gama alta suele esconderse en lo más profundo de los sistemas, es crucial realizar un análisis completo del sistema.
▼ Mostrar discusión.