Cómo eliminar el troyano FatalRAT
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es FatalRAT?
FatalRAT es el nombre de un troyano de acceso remoto (RAT). Un RAT es un tipo de malware que permite al atacante controlar remotamente el ordenador infectado y utilizarlo para diversos fines.
Normalmente, las RAT se utilizan para acceder a archivos y otros datos, observar actividades informáticas en la pantalla y realizar capturas de pantalla, robar información confidencial (por ejemplo, credenciales de inicio de sesión, datos de tarjetas de crédito).
Existen muchas herramientas legítimas de administración/acceso remoto en Internet. Es habitual que los ciberdelincuentes también utilicen esas herramientas con fines maliciosos.
Visión general del malware FatalRAT
Una de las cosas que hacen los ciberdelincuentes cuando consiguen engañar a los usuarios para que instalen malware como el FatalRAT es instalar otro malware, por ejemplo, ransomware, un minero de criptomonedas. Además, utilizan la función de registro de pulsaciones de teclas para grabar las teclas pulsadas.
Esta función permite a los ciberdelincuentes obtener los datos confidenciales introducidos, que pueden incluir detalles de tarjetas de crédito (por ejemplo, nombre del titular, número de tarjeta, código CVV, fecha de caducidad), credenciales de inicio de sesión (por ejemplo, nombres de usuario, direcciones de correo electrónico, contraseñas), números de la seguridad social, etcétera.
Es habitual que los datos recopilados se utilicen para robar cuentas personales (incluidas cuentas bancarias, de redes sociales, de correo electrónico y otras), identidades, y utilizarlas para realizar compras y transacciones no autorizadas, distribuir malware por correo electrónico u otros canales, enviar spam, engañar a otras personas para que realicen transacciones monetarias, etc.
Además, la mayoría de las RAT permiten a los atacantes gestionar archivos, por ejemplo, abrirlos, modificarlos, renombrarlos, descargarlos, ejecutarlos. Además, pueden utilizarse para grabar la pantalla, hacer capturas de pantalla, grabar la entrada del micrófono, acceder a la webcam.
Es importante mencionar que la instalación de un RAT como FatalRAT puede pasar desapercibida durante días, meses o incluso más tiempo, y puede ser difícil eliminarlos del sistema operativo incluso después de detectarlos.
| Nombre | FatalRAT troyano de administración remota |
| Tipo de amenaza | Troyano de acceso remoto, virus ladrón de contraseñas, spyware. |
| Nombres de detección | Avast (Win32:Bifrose-EXY [Trj]), BitDefender (Gen:Variant.Doina.13212), ESET-NOD32 (Una variante de Win32/GenKryptik.FFAV), Kaspersky (Trojan.Win32.Antavmu.assl), Microsoft (Trojan:Win32/Woreflint.A!cl), Lista completa (VirusTotal) |
| Síntomas | Los troyanos de administración remota están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada. |
| Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una botnet. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de troyanos de acceso remoto
Existen muchos RAT diferentes, algunos ejemplos son HabitsRAT, AndroRAT y Spectre. Por regla general, las principales diferencias entre ellos son sus capacidades.
No obstante, la mayoría de las RAT pueden utilizarse para distribuir otros programas maliciosos y robar información confidencial. Con el fin de engañar a los usuarios para que instalen las RAT, los ciberdelincuentes utilizan diversas técnicas, por ejemplo, las disfrazan de programas legítimos.
De un modo u otro, los usuarios descargan e instalan troyanos de este tipo sin saberlo.
¿Cómo se infiltró FatalRAT en mi ordenador?
Normalmente, el malware se distribuye utilizando cierto tipo de troyanos, correos electrónicos, fuentes poco fiables de descarga de archivos/programas, falsos actualizadores de software y herramientas ilegales de activación de software ('cracking'). Los troyanos son programas maliciosos que pueden tener la capacidad de instalar su carga útil (otro software de este tipo).
Sin embargo, estos troyanos sólo pueden causar infecciones en cadena cuando se instalan en los ordenadores. Los correos electrónicos se utilizan para enviar programas maliciosos a través de archivos maliciosos (adjuntos) o enlaces en ellos.
Los archivos que los ciberdelincuentes envían por correo electrónico pueden ser maliciosos de Microsoft Office, documentos PDF, archivos JavaScript, RAR, ZIP u otros archivos comprimidos, archivos ejecutables (como .exe). Los destinatarios instalan malware sin saberlo cuando descargan y abren archivos descargados desde/vía esos correos electrónicos.
Además, los programas maliciosos suelen proliferar a través de fuentes de descarga de archivos y programas informáticos poco fiables, como redes P2P (clientes de torrents, eMule, etc.), sitios web no oficiales, alojamiento gratuito de archivos, páginas de descarga de programas gratuitos y descargadores de terceros. Los usuarios instalan malware cuando abren/ejecutan descargas maliciosas.
Normalmente, esas descargas se disfrazan de archivos o programas legítimos y normales. Los actualizadores de software de terceros (no oficiales) infectan los ordenadores instalando programas maliciosos en lugar de actualizar, reparar software o aprovechar fallos, defectos de software obsoleto.
Las herramientas no oficiales de activación de software (también conocidas como herramientas de 'cracking') instalan programas maliciosos cuando vienen incluidas con ellos. No es legal utilizar esas herramientas de 'cracking' para activar software con licencia.
Por tanto, sólo los usuarios que pretenden evitar pagar por un software se convierten en víctimas de ataques de malware.
¿Cómo evitar la instalación de programas maliciosos?
No se puede confiar en los archivos, programas descargados mediante redes Peer-to-Peer, descargadores de terceros, desde páginas no oficiales y otros canales que se mencionan en el párrafo - pueden ser maliciosos. Se recomienda utilizar sólo páginas oficiales y enlaces de descarga directa al descargar programas o archivos.
Tampoco se debe confiar en los correos electrónicos irrelevantes enviados desde direcciones desconocidas y sospechosas. Si estos correos contienen enlaces o archivos (adjuntos), no deben abrirse.
El software instalado debe actualizarse y activarse correctamente, utilizando las funciones implementadas o las herramientas proporcionadas por sus desarrolladores oficiales. Las herramientas no oficiales de terceros pueden contener malware.
Además, no es legal activar ("crackear") ningún software (utilizar herramientas de "cracking" para activar software con licencia). Un ordenador debe tener instalado un software antivirus o antiespía de confianza, y debe analizarse periódicamente en busca de amenazas.
Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Actualización del 26 de febrero de 2025: se han observado nuevas campañas de spam por correo electrónico en las que prolifera el malware FatalRAT. Estas campañas buscaban infectar entidades en la región Asia-Pacífico, incluyendo China, Hong Kong, Japón, Malasia, Filipinas, Singapur, Corea del Sur, Taiwán, Tailandia y Vietnam.
Los objetivos incluían entidades gubernamentales y organizaciones industriales, estas últimas de los sectores de fabricación, energía, sanidad, tecnologías de la información, telecomunicaciones, logística y otros.
Los archivos adjuntos maliciosos tenían nombres en chino, lo que sugiere que los objetivos eran de habla china. FatalRAT se infiltraba en los sistemas mediante una compleja cadena de varias fases que incluía varios cargadores y utilizaba la técnica de carga lateral de DLL.
Una vez abierto, el adjunto del correo electrónico ejecutaba el cargador inicial que obtenía archivos adicionales de Youdao Cloud Notes, un servicio en la nube chino legítimo. El mismo abuso de una nube auténtica - myqcloud.com - se utilizó para recuperar la carga útil final: el propio FatalRAT. A lo largo de la cadena de infección, se mostraban señuelos como documentos falsos y mensajes de error para atraer la atención de las víctimas.
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es FatalRAT?
- PASO 1. Eliminación manual del malware FatalRAT.
- PASO 2. Compruebe si su ordenador está limpio.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, mediante el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reinicie su ordenador en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haz clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de arranque del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red de la lista.
Vídeo que muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haz clic en "Configuración de inicio".
Haz clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú que se abre, haz clic en "Reiniciar" mientras mantienes pulsada la tecla "Mayúsculas" del teclado. En la ventana "Elegir una opción", haga clic en "Solucionar problemas" y, a continuación, seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana debes pulsar la tecla "F5" de tu teclado. Esto reiniciará su sistema operativo en modo seguro con conexión en red.
Vídeo que muestra cómo iniciar Windows 10 en "Modo seguro con conexión en red":
Extrae el archivo descargado y ejecuta el archivo Autoruns.exe.
En la aplicación Autoruns, haz clic en "Opciones" en la parte superior y desmarca las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Tras este procedimiento, haz clic en el icono "Actualizar".
Compruebe la lista proporcionada por la aplicación Autoruns y localice el archivo malicioso que desea eliminar.
Anota su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrate de activar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicia el ordenador en modo normal. Siguiendo estos pasos debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de programas maliciosos en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador seguro, instala las últimas actualizaciones del sistema operativo y utiliza software antivirus. Para asegurarte de que tu ordenador está libre de infecciones de malware, te recomendamos escanearlo con Combo Cleaner.
Preguntas más frecuentes (FAQ)
Mi ordenador está infectado con el malware FatalRAT, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
La eliminación del malware rara vez requiere formateo.
¿Cuáles son los mayores problemas que puede causar el malware FatalRAT?
Los peligros que plantea una infección dependen de las capacidades del malware y de los objetivos de los atacantes. FatalRAT está diseñado para permitir el acceso/control remoto sobre dispositivos comprometidos, y puede robar datos confidenciales, causar infecciones en cadena y realizar otras actividades maliciosas. En general, la presencia de software como FatalRAT puede provocar múltiples infecciones en el sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.
¿Cuál es el propósito del malware FatalRAT?
El malware se utiliza principalmente para generar ingresos. Sin embargo, los atacantes también pueden utilizar programas maliciosos para divertirse, realizar rencores personales, interrumpir procesos (por ejemplo, sitios, servicios, organizaciones, etc.), participar en hacktivismo y lanzar ataques por motivos políticos/geopolíticos.
¿Cómo se infiltró el malware FatalRAT en mi ordenador?
FatalRAT se ha propagado a través de campañas de spam por correo electrónico y utilizando técnicas de publicidad maliciosa. Otros métodos no son improbables. Aparte de los ya mencionados, los programas maliciosos se distribuyen a través de troyanos, descargas "drive-by", estafas en línea, diversos tipos de spam (por ejemplo, MP/DM, publicaciones en redes sociales/foros, etc.), canales de descarga sospechosos (por ejemplo, sitios de alojamiento de archivos no oficiales y gratuitos, redes de intercambio P2P, etc.), herramientas de activación ilegales ("cracks") y actualizaciones falsas. Algunos programas maliciosos pueden autoproliferarse a través de redes locales y dispositivos de almacenamiento extraíbles.
¿Me protegerá Combo Cleaner del malware?
Combo Cleaner es capaz de detectar y eliminar casi todas las infecciones de malware conocidas. Cabe destacar que es esencial realizar un análisis completo del sistema, ya que el software malicioso sofisticado suele esconderse en las profundidades de los sistemas.
¡Excelente!
▼ Mostrar discusión.