FacebookTwitterLinkedIn

¿Cómo eliminar el malware NUKESPED?

Conocido también como: Troyano puerta trasera NUKESPED
Tipo: Malware específico de Mac
Nivel de peligrosidad: Extremo

Tomas Meskauskas Escrito por el (actualizado)

¿Cómo remover NUKESPED de Mac?

¿Qué es "NUKESPED"?

NUKESPED es un troyano de puerta trasera que se dirige a usuarios de Mac en Corea. Un grupo de ciberdelincuentes que diseñaron y difundieron este malware se llama Lazarus. Distribuyeron este software malicioso a través de documentos de Excel y lo hicieron mediante el paquete de la aplicación Mac que contiene versiones legítimas y maliciosas de los archivos de Adobe Flash Player. Los ciberdelincuentes usan NUKESPED como herramienta para acceder y controlar de forma remota las computadoras infectadas.

Estafa NUKESPED

El paquete de la aplicación Mac está diseñado para ejecutar NUKESPED, que está disfrazado como una versión legítima de Flash Player y el Flash Player real para ocultar la versión anterior. La versión maliciosa usa la legítima para reproducir un video SWF (formato de archivo Adobe Flash). Mientras se reproduce ese video, la versión maliciosa crea un archivo oculto en "~/.FlashUpdateCheck" e instala un mecanismo de persistencia para ese archivo a través de un archivo PLIST "~/Library/Launchagents/com.adobe.macromedia.plist". Los ciberdelincuentes utilizan el archivo oculto para establecer una comunicación a través de servidores de Comando y Control ("Command and Control", C&C) y realizar diversas acciones. Se sabe que este troyano se puede utilizar para finalizar procesos, recibir información sobre el sistema, verificar y actualizar la configuración de una puerta trasera, ejecutar comandos de shell, descargar, cargar y ejecutar archivos. Es muy probable que los ciberdelincuentes detrás de NUKESPED lo usen para infectar sistemas con malware adicional. Por ejemplo, malware bancario, Troyanos de otro tipo, etc. El malware instalado podría usarse para cifrar datos, tomar capturas de pantalla/grabar pantallas, robar credenciales y otra información confidencial, robar varias cuentas personales, registrar datos guardados en el portapapeles, etc. Por lo general, la mayoría de los delincuentes cibernéticos apuntan a información que podría usarse para generar ingresos de una u otra manera. Por ejemplo, roban información bancaria y/o varias cuentas para realizar compras fraudulentas, transacciones, etc., infectan sistemas con ransomware para chantajear a las víctimas al exigir pagar un rescate a cambio de un software de descifrado, etc. En la mayoría de los casos, tener una computadora infectada con software malicioso como el troyano de puerta trasera NUKESPED provoca pérdidas financieras, problemas de privacidad, seguridad de navegación, pérdida de datos y otros problemas graves.

Resumen de la amenaza:
Nombre Troyano puerta trasera NUKESPED
Tipo de Amenaza Trojan
Nombres de Detección Avast (MacOS:NukeSpeed-C [Trj]), BitDefender (Trojan.MAC.Lazarus.C), ESET-NOD32 (OSX/NukeSped.C), Kaspersky (HEUR:Trojan-Dropper.OSX.Agent.d), Lista Completa (VirusTotal)
Nombre del Proceso Malicioso .Flash Player
Síntomas Los troyanos están diseñados para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos de Distribución Archivos adjuntos de correo electrónico infectados, instaladores o actualizadores falsos de Flash Player, anuncios maliciosos en línea, ingeniería social, "cracks" de software.
Daño Contraseñas robadas e información bancaria, robo de identidad, computadora de la víctima agregada a una botnet, instalación de otros malware.
Eliminación

Para eliminar posibles infecciones de malware, escanee su Mac con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.
▼ Descargue Combo Cleaner para Mac
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.

Más ejemplos de troyanos de puerta trasera son Casbaneiro, Kryptik y GoBotKR. Por lo general, los ciberdelincuentes que propagan ese tipo de malware buscan infectar las computadoras con malware que les ayudaría a robar una variedad de información confidencial. En la mayoría de los casos, su objetivo principal es extraer dinero de sus víctimas o hacer un mal uso de sus datos confidenciales para generar ingresos de otras maneras. Si hay una razón para creer que un troyano (u otro malware) está instalado en el sistema, debe eliminarse de inmediato.

¿Cómo se instalaron las aplicaciones potencialmente no deseadas en mi computadora?

Como mencionamos anteriormente, los ciberdelincuentes extendieron NUKESPED a través del paquete de aplicaciones de Mac que contiene versiones legítimas y maliciosas de Adobe Flash Player. Sin embargo, no es la única forma de propagar malware. Muy a menudo, los ciberdelincuentes lo hacen mediante campañas de spam (correos electrónicos), actualizaciones de software falsas, fuentes de descarga de software no confiables y herramientas de 'craqueo' de software (activación no oficial). Las campañas de spam se están utilizando para infectar sistemas a través de archivos adjuntos de correo electrónico malicioso. Ejemplos de archivos que los ciberdelincuentes suelen adjuntar son Microsoft Office y documentos PDF, archivos ejecutables (como .exe), archivos JavaScript, archivos como ZIP y RAR, etc. Cuando se abren, esos archivos adjuntos instalan software malicioso. Los actualizadores de software falsos infectan las computadoras explotando errores, fallas u otras vulnerabilidades de software obsoleto o instalando software malicioso en lugar de actualizar uno instalado. Las redes punto a punto (eMule, clientes de torrent, etc.), descargadores de terceros, sitios web gratuitos y de alojamiento de archivos gratuitos y otras fuentes de descarga similares a menudo se utilizan como herramientas para cargar archivos maliciosos. Por lo general, los ciberdelincuentes los disfrazan de legítimos. Al descargar archivos usando tales fuentes y luego abrirlos/ejecutarlos, las personas corren el riesgo de provocar la instalación de varios malware por sí mismos. Las herramientas de "craqueo" de software son programas que generalmente están diseñados para activar software pago de forma gratuita. Sin embargo, los ciberdelincuentes a menudo los diseñan para propagar malware también. Simplemente dicho, las herramientas de este tipo a menudo instalan programas maliciosos en lugar de activar algún software o sistema operativo instalado.

¿Cómo evitar la instalación de aplicaciones potencialmente no deseadas?

El software no debe descargarse (o instalarse) a través de varios descargadores de software de terceros, instaladores u otras fuentes poco confiables que mencionamos anteriormente. Debe descargarse utilizando solo sitios web oficiales y confiables, y enlaces directos. Las herramientas no oficiales/de terceros no se deben utilizar para actualizar el software, la única forma adecuada de hacerlo es mediante el uso de funciones implementadas o herramientas proporcionadas por los desarrolladores de software oficiales. No se debe confiar en los archivos adjuntos que se presentan en correos electrónicos irrelevantes y/o correos electrónicos que se reciben de direcciones sospechosas desconocidas. Los archivos adjuntos deben abrirse solo cuando no haya razón para creer que no es seguro. Además, no es legal activar software o sistemas operativos utilizando herramientas de 'craqueo' de software, además, estas herramientas a menudo conducen a la instalación de varios programas maliciosos. Y, por último, recomendamos tener instalado un anti-spyware o software antivirus de buena reputación y escanear las computadoras con él regularmente. Si su computadora ya está infectada con PUA, le recomendamos que ejecute un análisis con Combo Cleaner para eliminarlos automáticamente.

Apariencia de la versión maliciosa de Flash Player que utiliza la legítima para reproducir un formato de archivo SWF (GIF):

Apariencia de NUKESPED reproduciendo video SWF a través de Flash Player malicioso

Versión maliciosa de Flash Player que se ejecuta en Activity Monitor:

Monitor de actividad nukesped

Eliminación automática instantánea de malware para Mac: La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, y está recomendado para acabar con el malware de Mac. Descárguelo haciendo clic en el siguiente botón:
 ▼ DESCARGAR Combo Cleaner para Mac El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Video que muestra cómo eliminar adware y secuestradores de navegador de una computadora Mac:

Eliminación de aplicaciones potencialmente no deseadas:

Elimine las aplicaciones potencialmente no deseadas de su carpeta "Aplicaciones":

Eliminación de secuestrador de navegadores Mac de la carpeta aplicaciones

Haz clic en el ícono Finder. En la ventana de Finder, selecciona "Aplicaciones". En la carpeta de aplicaciones, busca "MPlayerX", "NicePlayer", u otras aplicaciones sospechosas y arrástralas a la Papelera. Después de eliminar las aplicaciones potencialmente no deseadas que causan anuncios en línea, escanea tu Mac en busca de componentes restantes no deseados.

Elimine los archivos y carpetas vinculados al troyano puerta trasera nukesped:

comando ir a la carpeta del Finder

Haga clic en el icono del Finder: en el menú superior. Seleccione "Ir" y haga clic en "Ir a la carpeta...".

step1Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchAgents

cómo eliminar software publicitario de la carpeta launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step2Revise si hay archivos generados por el adware en la carpeta /Library/Application Support:

cómo eliminar software publicitario de la carpeta application support paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/Application Support

removing adware from application support folder step 2

En la carpeta “Application Support”, mire si hay carpetas sospechosas que se hayan añadido recientemente. Por ejemplo, “MplayerX” o “NicePlayer” y, en tal caso, envíe esas carpetas a la Papelera.

step3Revise si hay archivos vinculados al software publicitario en la carpeta ~/Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta ~launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: ~/Library/LaunchAgents

cómo eliminar software publicitario desde la carpeta ~launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step4Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchDaemons:

cómo eliminar software publicitario de la carpeta launch daemons paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchDaemons

cómo eliminar software publicitario de la carpeta launch daemons paso 2

En la carpeta “LaunchDaemons”, mire si se han añadido recientemente archivos sospechosos. Por ejemplo, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., y, en tal caso, envíelos a la Papelera.

step 5 Analice su equipo Mac con Combo Cleaner:

Si ha seguido todos los pasos siguiendo el orden correcto, su equipo Mac debería encontrarse libre de infecciones. Para asegurarse de que su sistema no está infectado, analícelo con el antivirus Combo Cleaner. Descárguelo AQUÍ. Tras descargar el archivo, haga doble clic sobre el instalador combocleaner.dmg; en la nueva ventana, arrastre el icono de Combo Cleaner hasta el icono de Aplicaciones. Seguidamente, abra el launchpad y haga clic en el icono de Combo Cleaner. Espere a que Combo Cleaner actualice la base de datos de definiciones de viru y haga clic en el botón "Start Combo Scan".

scan-with-combo-cleaner-1

Combo Cleaner bucará infecciones de software malicioso en su equipo. Si el resultado del análisis antivirus es "no threats found", quiere decir que puede continuar con la guía de desinfección; de lo contrario, se recomineda eliminar las infecciones encontradas antes de continuar.

scan-with-combo-cleaner-2

Tras eliminar los archivos y carpetas generados por el software publicitario, siga eliminando las extensiones dudosas de sus navegadores web.

Eliminar el troyano puerta trasera nukesped de los navegadores web:

safari browser iconEliminar extensiones maliciosas de Safari:

Eliminar las extensiones vinculadas a troyano puerta trasera nukesped de Safari:

preferencias de navegación en Safari

Abra el navegador Safari; desde la barra de menú, seleccione "Safari" y haga clic en "Preferencias...".

pantalla de extensiones en safari

En la ventana de preferencias, seleccione "Extensiones" y revise si se han añadido recientemente extensiones sospechosas. Si las encuentra, haga clic en el botón "Desinstalar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Safari, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

  • Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restaure Safari.

firefox browser iconEliminar complementos maliciosos de Mozilla Firefox:

Eliminar los complementos vinculados a troyano puerta trasera nukesped de Mozilla Firefox:

cómo acceder a los complementos de mozilla firefox

Abra su navegador Mozilla Firefox. En la parte superior derecha de la pantalla, haga clic en "Abrir Menú" (tres líneas horizontales). Del menú desplegado, elija "Complementos".

Eliminar complementos malintencionados de Mozilla Firefox

Seleccione la pestaña "Extensiones" y mire si se han añadido recientemente complementos sospechosos. Si las encuentra, haga clic en el botón "Eliminar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Mozilla Firefox, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

chrome-browser-iconEliminar extensiones maliciosas de Google Chrome:

Eliminar los complementos vinculados a troyano puerta trasera nukesped en Google Chrome:

Eliminando extensiones maliciosas de Google Chrome paso 1

Abra Google Chrome y haga clic en el botón "menú de Chrome" (tres barras horizontales) ubicado en la parte superior derecha de la pantalla del navegador. Del menú desplegable, seleccione "Más herramientas" y haga clic en "Extensiones".

Eliminando extensiones maliciosas de Google Chrome paso 2

En la pantalla "Extensiones", mire si se han añadido recientemente complementos sospechosos. Si los encuentra, haga clic en el botón de la papelera junto a ellos. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Google Chrome, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

▼ Mostrar discusión.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Sobre nosotros

PCrisk es un portal de ciberseguridad que informa a los usuarios de Internet sobre las últimas amenazas digitales. Nuestro contenido es proporcionado por expertos en seguridad e investigadores profesionales de malware. Lea más sobre nosotros.

Guías de desinfección en otros idiomas
Nuevas guías para la eliminación de virus
Top de guías para la eliminación de virus
Código QR
Troyano puerta trasera NUKESPED Código QR
Escanee este código QR para acceder fácilmente a la guía de desinfección de Troyano puerta trasera NUKESPED desde su dispositivo móvil.
Nuestra recomendación:

Acabe con las infecciones de malware para Mac hoy mismo:

▼ ELIMÍNELO AHORA
Descargue Combo Cleaner para Mac

Plataforma: macOS

Valoración de Combo Cleaner por parte del editor:
Valoración¡Excelente!

[Volver al principio]

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.