FacebookTwitterLinkedIn

Cómo eliminar CoffeeLoader de los sistemas infectados

Conocido también como: Cargador de malware CoffeeLoader
Tipo: Troyano
Nivel de peligrosidad: Extremo

Tomas Meskauskas Escrito por el

¿Qué tipo de malware es CoffeeLoader?

CoffeeLoader es un sofisticado cargador de malware diseñado para desplegar otro software malicioso evitando ser detectado. Utiliza técnicas avanzadas (como la suplantación de la pila de llamadas, la ofuscación del reposo y la ejecución basada en la GPU) para eludir las medidas de seguridad. Se ha descubierto que los ciberdelincuentes utilizan CoffeeLoader para desplegar el malware Rhadamanthys.

CoffeeLoader malware

Más información sobre CoffeeLoader

Una característica clave de CoffeeLoader es el uso de un empaquetador llamado "Armoury", que ejecuta el código en la GPU del sistema. Esta técnica dificulta su análisis en entornos virtuales y mejora su capacidad para eludir la detección.

CoffeeLoader utiliza un algoritmo de generación de dominios (DGA) para permanecer conectado a sus servidores de mando y control (C2), creando nuevos dominios si los canales primarios se caen. También emplea el bloqueo de certificados para bloquear los ataques TLS man-in-the-middle, garantizando la seguridad de la comunicación.

Se sabe que CoffeeLoader comparte una serie de similitudes con SmokeLoader, otro cargador de malware. Ambos utilizan técnicas como la inyección de procesos, la resolución de importaciones por hash y el cifrado del tráfico de red con claves RC4 codificadas.

Los últimos descubrimientos indican que los ciberdelincuentes han estado utilizando CoffeeLoader para distribuir el malware Rhadamanthys, un ladrón de información diseñado para extraer datos de los dispositivos infectados. Rhadamanthys recopila diversa información del dispositivo, como el nombre, el modelo, la versión del sistema operativo, detalles del hardware, el software instalado y la dirección IP.

Además de recopilar datos del sistema, Rhadamanthys puede ejecutar comandos PowerShell y atacar archivos de documentos, lo que puede causar graves problemas si se roban datos confidenciales. También ataca monederos de criptomonedas, intentando robar contraseñas o frases de contraseña para obtener acceso y robar fondos.

Resumen de la amenaza:
Nombre Cargador de malware CoffeeLoader
Tipo de amenaza Cargador de malware
Nombres de detección Avast (FileRepMalware [Misc]), DTX (Dll.trojan.shelma), ESET-NOD32 (Una variante de Generik.ZSZZQR), Kaspersky (Trojan.Win32.Shelma.chgq), Sophos (Mal/Generic-S), Lista completa (VirusTotal)
Carga útil Rhadamanthys (y posiblemente otro malware)
Síntomas Los cargadores pueden estar diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos de distribución Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software.
Posibles daños Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una botnet, pérdidas monetarias.
Eliminación de Malware

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.
▼ Descargue Combo Cleaner para Windows
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.

Posibles daños

En conclusión, CoffeeLoader es un peligroso cargador de malware capaz de evitar ser detectado. Como se mencionó anteriormente, el cargador se utiliza para desplegar Rhadamanthys. Sin embargo, los ciberdelincuentes también pueden utilizarlo para distribuir ransomware y otros tipos de malware. Por lo tanto, es importante tener cuidado en línea para evitar CoffeeLoader y los riesgos asociados, incluyendo la pérdida monetaria y el robo de identidad.

Otros ejemplos de malware clasificado como cargador son Venom Loader, GodLoader y BabbleLoader.

¿Cómo se infiltró CoffeeLoader en mi ordenador?

El malware se propaga mediante diversas tácticas engañosas. Los ciberdelincuentes suelen ocultarlo en software pirata, generadores de claves o herramientas crackeadas, envían correos electrónicos engañosos con archivos adjuntos o enlaces maliciosos, o aprovechan vulnerabilidades del software. También utilizan estafas de soporte técnico, unidades USB infectadas, anuncios maliciosos y descargadores de terceros.

Además, el malware puede distribuirse a través de redes P2P y sitios web comprometidos. Por lo general, el objetivo de los ciberdelincuentes es engañar a los usuarios para que realicen determinadas acciones, como abrir archivos maliciosos, que desencadenan las infecciones.

¿Cómo evitar la instalación de programas maliciosos?

Descargue programas de fuentes fiables, como sitios web oficiales o tiendas de aplicaciones, y evite las versiones piratas. No abra archivos adjuntos ni enlaces que aparezcan en correos electrónicos dudosos (por ejemplo, irrelevantes o inesperados), especialmente de remitentes desconocidos. Analice regularmente su sistema con una herramienta de seguridad fiable y absténgase de hacer clic en anuncios o ventanas emergentes sospechosos.

Mantenga el sistema operativo y el software actualizados para reducir las posibilidades de posibles vulnerabilidades. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.

Eliminación automática instantánea de malware: La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
 ▼ DESCARGAR Combo Cleaner El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

¿Cómo eliminar malware manualmente?

La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:

Proceso de malware en ejecución en el Administrador de tareas

Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, mediante el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:

paso de eliminación manual de malware 1Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:

Aspecto de la aplicación Autoruns

paso de eliminación manual de malware 2Reinicie su ordenador en Modo Seguro:

Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haz clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de arranque del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red de la lista.

Ejecutar Windows 7 o Windows XP en modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.

Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haz clic en "Configuración de inicio".

Haz clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Ejecutar Windows 8 en modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú que se abre, haz clic en "Reiniciar" mientras mantienes pulsada la tecla "Mayúsculas" del teclado. En la ventana "Elegir una opción", haga clic en "Solucionar problemas" y, a continuación, seleccione "Opciones avanzadas".

En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana debes pulsar la tecla "F5" de tu teclado. Esto reiniciará su sistema operativo en modo seguro con conexión en red.

Ejecutar Windows 10 en modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 10 en "Modo seguro con conexión en red":

paso de eliminación manual de malware 3Extrae el archivo descargado y ejecuta el archivo Autoruns.exe.

Extrae el archivo Autoruns.zip y ejecuta la aplicación Autoruns.exe

paso de eliminación manual de malware 4En la aplicación Autoruns, haz clic en "Opciones" en la parte superior y desmarca las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Tras este procedimiento, haz clic en el icono "Actualizar".

Actualizar los resultados de la aplicación Autoruns

paso de eliminación manual de malware 5Compruebe la lista proporcionada por la aplicación Autoruns y localice el archivo malicioso que desea eliminar.

Anota su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".

Eliminar malware en Autoruns

Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrate de activar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.

Buscar malware y eliminarlo

Reinicia el ordenador en modo normal. Siguiendo estos pasos debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de programas maliciosos en manos de programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador seguro, instala las últimas actualizaciones del sistema operativo y utiliza software antivirus. Para asegurarte de que tu ordenador está libre de infecciones de malware, te recomendamos escanearlo con Combo Cleaner.

Preguntas más frecuentes (FAQ)

Mi ordenador está infectado con el malware CoffeeLoader, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?

Formatear un dispositivo de almacenamiento puede eliminar el malware, pero no siempre es necesario. Antes de considerar este paso, pruebe a utilizar una herramienta de seguridad de confianza como Combo Cleaner para detectar y eliminar CoffeeLoader.

¿Cuáles son los mayores problemas que puede causar el malware?

Las infecciones por malware pueden dar lugar a robos de identidad, pérdidas financieras, archivos cifrados, toma de control de cuentas y otros problemas del sistema.

¿Para qué sirve CoffeeLoader?

CoffeeLoader es un cargador de malware diseñado para desplegar cargas útiles maliciosas adicionales (por ejemplo, Rhadamanthys) y, al mismo tiempo, evadir la detección.

¿Cómo se infiltró un malware en mi ordenador?

El malware suele propagarse mediante tácticas engañosas, como ocultarse en software pirata, generadores de claves y herramientas crackeadas. Los ciberdelincuentes también utilizan correos electrónicos de phishing, aprovechan vulnerabilidades del software y emplean estafas como el falso soporte técnico. Otros métodos incluyen el uso de unidades USB infectadas, anuncios maliciosos, descargadores de terceros, redes P2P y sitios web comprometidos.

¿Me protegerá Combo Cleaner del malware?

Combo Cleaner detecta y elimina eficazmente la mayoría de los programas maliciosos. Sin embargo, las amenazas sofisticadas pueden esconderse en lo más profundo del sistema, por lo que es necesario realizar un análisis completo del sistema para garantizar su completa erradicación.

▼ Mostrar discusión.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Sobre nosotros

PCrisk es un portal de ciberseguridad que informa a los usuarios de Internet sobre las últimas amenazas digitales. Nuestro contenido es proporcionado por expertos en seguridad e investigadores profesionales de malware. Lea más sobre nosotros.

Guías de desinfección en otros idiomas
Nuevas guías para la eliminación de virus
Top de guías para la eliminación de virus
Código QR
Cargador de malware CoffeeLoader Código QR
Escanee este código QR para acceder fácilmente a la guía de desinfección de Cargador de malware CoffeeLoader desde su dispositivo móvil.
Nuestra recomendación:

Acabe con las infecciones de malware para Windows hoy mismo:

▼ ELIMÍNELO AHORA
Descargue Combo Cleaner

Plataforma: Windows

Valoración de Combo Cleaner por parte del editor:
Valoración¡Excelente!

[Volver al principio]

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.