FacebookTwitterLinkedIn

¿Cómo eliminar el malware XcodeSpy?

Conocido también como: Backdoor XcodeSpy
Propagación: Baja
Nivel de peligrosidad: Extremo

¿Cómo eliminar XcodeSpy de Mac?

¿Qué es XcodeSpy?

El malware XcodeSpy se dirige a los desarrolladores de Apple, que se propaga a través de proyectos Xcode maliciosos (troyanos) (función Ejecutar Script en Xcode IDE). La investigación muestra que se supone que uno de esos proyectos Xcode maliciosos (llamado TabBarInteraction) incluye funciones para animar la barra de pestañas de iOS. Es probable que haya más de un proyecto Xcode troyanizado. Un código malicioso que utiliza XcodeSpy se puede ocultar y ejecutar fácilmente en cualquier proyecto de Xcode de terceros. XcodeSpy (o más bien el backdoor que inyecta) puede grabar audio usando el micrófono, video usando la cámara y la entrada del teclado. Además, puede descargar y cargar archivos.

Malware XcodeSpy instalado el backdoor EggShell

Como se mencionó en el primer párrafo, XcodeSpy se distribuye utilizando la función Ejecutar script en Xcode IDE. Una vez que se lanza un proyecto de Xcode troyanizado (XcodeSpy), se instala el backdoor EggShell en el sistema operativo. Luego, los atacantes pueden usar el backdoor instalada para grabar audio usando el micrófono, video usando la cámara, registrar pulsaciones de teclas (grabar entrada de teclado), cargar y descargar archivos. Es común que los ciberdelincuentes usen micrófonos y cámaras secuestradas para grabar videos, audios que podrían usarse para chantajear a las víctimas. Muy a menudo, los ciberdelincuentes amenazan con publicar material grabado si las víctimas no pagan una determinada cantidad de dinero (normalmente, en criptomonedas). La función de registro de pulsaciones de teclas permite a los atacantes registrar todo lo que las víctimas escriben con su teclado. Significa que los ciberdelincuentes podrían obtener datos como credenciales de inicio de sesión (nombres de usuario, direcciones de correo electrónico, contraseñas) para varias cuentas personales (desde redes sociales hasta cuentas bancarias), detalles de tarjetas de crédito, números de seguridad social, números de cuentas bancarias, etc. . Dependiendo de los datos del registro, podría usarse para robar cuentas en línea, identidades, realizar compras fraudulentas, transacciones y otros propósitos maliciosos. Además, toda la información extraída podría venderse a terceros (otros ciberdelincuentes).

Además, XcodeSpy/backdoor instalada se puede utilizar para descargar archivos almacenados en la computadora de la víctima, incluidos documentos personales, fotos, videos, etc. Los ciberdelincuentes pueden amenazar con publicar esos archivos también y solicitar un pago a cambio de no poner los archivos robados a disposición del público. . O podrían intentar monetizar los archivos descargados de alguna otra manera. Como se mencionó en el párrafo anterior, XcodeSpy puede usarse no solo para descargar sino también para cargar archivos. Es común que los ciberdelincuentes utilicen esta función para difundir malware u otro software no deseado. Es importante mencionar que el malware XcodeSpy instala un LaunchAgent de usuario para la persistencia (el malware permanece activo incluso después de reiniciar el sistema).

Resumen de la Amenaza:
Nombre Backdoor XcodeSpy
Tipo de Amenaza Malware Backdoor
Nombres de Detección (EggShell backdoor) Avast (MacOS:Eggshell-L [Trj]), BitDefender (Trojan.MAC.Generic.105295), ESET-NOD32 (A Variant Of OSX/EggShell.M), Kaspersky (HEUR:Backdoor.OSX.EggShell.a), Lista Completa (VirusTotal)
Síntomas El malware de tipo troyanos está diseñado para infiltrarse sigilosamente en la computadora de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos de Distribución Proyectos de Xcode troyanizados/de terceros
Daño Datos, pérdida financiera, pérdida de acceso a cuentas personales, problemas con la seguridad de la navegación, privacidad en línea
Eliminación

Para eliminar Backdoor XcodeSpy, nuestros investigadores de software malicioso recomiendan analizar el equipo con Combo Cleaner.
▼ Descargar Combo Cleaner
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible.

Más ejemplos de software malicioso que los ciberdelincuentes utilizan para atacar a los usuarios de Mac son Silver Sparrow, Eleanor y Proton. En la mayoría de los casos, los ciberdelincuentes distribuyen malware con el propósito de robar información personal que podría monetizarse de una forma u otra o para infectar computadoras con malware adicional (por ejemplo, troyanos, ransomware), que les permitiría robar información o chantajear a las víctimas. Como se mencionó en los párrafos anteriores, XcodeSpy se propaga a través de proyectos Xcode maliciosos compartidos al abusar de la función Ejecutar script. Por lo tanto, se recomienda encarecidamente a los desarrolladores de Apple que comprueben los proyectos de Xcode de terceros en busca de Run Scripts maliciosos mientras los adoptan.

¿Cómo se instalaron las aplicaciones potencialmente no deseadas en mi computadora?

Es probable que al menos uno de los proyectos Xcode maliciosos utilizados para distribuir el backdoor de XcodeSpy esté (o estuviera) disponible para su descarga en una plataforma de alojamiento de código llamada GitHub. También se pueden utilizar varios foros de desarrolladores. Más ejemplos de canales que los ciberdelincuentes utilizan para distribuir su malware son campañas de malspam (correos electrónicos con archivos adjuntos o enlaces maliciosos), actualizadores de software falsos, herramientas de 'craqueo' de software (herramientas que activan ilegalmente software con licencia), ciertos troyanos y fuentes no confiables para descarga de archivos, programas. Ejemplos de canales cuestionables para descargar archivos son las redes Peer-to-Peer (por ejemplo, clientes torrent, eMule), descargadores de terceros, sitios web de descarga de software gratuito, páginas de alojamiento de archivos gratuitos, sitios no oficiales. Es importante mencionar que los instaladores de terceros también pueden ser maliciosos.

¿Cómo evitar la instalación de aplicaciones potencialmente no deseadas?

En este caso, se recomienda a los usuarios (desarrolladores de Apple) que comprueben los proyectos Xcode compartidos en busca de Run Scripts maliciosos mientras los adoptan. Además, se recomienda descargar archivos o software solo desde sitios web oficiales y utilizando enlaces de descarga directa. En caso de que esté utilizando el proyecto de otra persona, asegúrese de que la fuente sea confiable. Actualice o active el software instalado utilizando las herramientas que proporcionan sus desarrolladores oficiales. Nunca utilice herramientas no oficiales de terceros ni para actualizar o activar el software. Esas herramientas pueden ser maliciosas y no es legal utilizar herramientas de terceros para activar software con licencia. Además, se recomienda encarecidamente no confiar en los correos electrónicos irrelevantes recibidos de un remitente desconocido y sospechoso. Si dichos correos electrónicos contienen archivos adjuntos, enlaces a sitios web, no se deben abrir ni hacer clic en esos archivos y enlaces. Es importante recordar que los ciberdelincuentes disfrazan sus correos electrónicos como correos electrónicos oficiales e importantes. Si su computadora ya está infectada con PUAs, recomendamos ejecutar un escaneo Combo Cleaner para eliminarlas automáticamente.

Archivo de backdoor EggShell detectado como una amenaza en VirusTotal:

Malware XcodeSpy en VirusTotal

Eliminar automáticamente de forma instantánea Backdoor XcodeSpy: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Backdoor XcodeSpy. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner (Mac) Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Video que muestra cómo eliminar adware y secuestradores de navegador de una computadora Mac:

Eliminación de aplicaciones potencialmente no deseadas

Eliminar aplicaciones potencialmente no deseadas de su carpeta "Aplicaciones":

Eliminación de secuestrador de navegadores Mac de la carpeta aplicaciones

Haga clic en el ícono Finder. En la ventana de Finder, seleccione "Aplicaciones". En la carpeta de aplicaciones, busque "MPlayerX", "NicePlayer", u otras aplicaciones sospechosas y arrástrelas a la Papelera. Después de eliminar las aplicaciones potencialmente no deseadas que causan anuncios en línea, escanee su Mac en busca de componentes restantes no deseados.

Elimine los archivos y carpetas vinculados al backdoor xcodespy:

 comando ir a la carpeta del Finder

Haga clic en el icono del Finder: en el menú superior. Seleccione "Ir" y haga clic en "Ir a la carpeta...".

step1Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchAgents

cómo eliminar software publicitario de la carpeta launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step2Revise si hay archivos generados por el adware en la carpeta /Library/Application Support:

cómo eliminar software publicitario de la carpeta application support paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/Application Support

removing adware from application support folder step 2

En la carpeta “Application Support”, mire si hay carpetas sospechosas que se hayan añadido recientemente. Por ejemplo, “MplayerX” o “NicePlayer” y, en tal caso, envíe esas carpetas a la Papelera.

step3Revise si hay archivos vinculados al software publicitario en la carpeta ~/Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta ~launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: ~/Library/LaunchAgents

cómo eliminar software publicitario desde la carpeta ~launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step4Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchDaemons:

cómo eliminar software publicitario de la carpeta launch daemons paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchDaemons

cómo eliminar software publicitario de la carpeta launch daemons paso 2

En la carpeta “LaunchDaemons”, mire si se han añadido recientemente archivos sospechosos. Por ejemplo, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., y, en tal caso, envíelos a la Papelera.

step 5 Analice su equipo Mac con Combo Cleaner:

Si ha seguido todos los pasos siguiendo el orden correcto, su equipo Mac debería encontrarse libre de infecciones. Para asegurarse de que su sistema no está infectado, analícelo con el antivirus Combo Cleaner. Descárguelo AQUÍ. Tras descargar el archivo, haga doble clic sobre el instalador combocleaner.dmg; en la nueva ventana, arrastre el icono de Combo Cleaner hasta el icono de Aplicaciones. Seguidamente, abra el launchpad y haga clic en el icono de Combo Cleaner. Espere a que Combo Cleaner actualice la base de datos de definiciones de viru y haga clic en el botón "Start Combo Scan".

scan-with-combo-cleaner-1

Combo Cleaner bucará infecciones de software malicioso en su equipo. Si el resultado del análisis antivirus es "no threats found", quiere decir que puede continuar con la guía de desinfección; de lo contrario, se recomineda eliminar las infecciones encontradas antes de continuar.

scan-with-combo-cleaner-2

Tras eliminar los archivos y carpetas generados por el software publicitario, siga eliminando las extensiones dudosas de sus navegadores web.

Eliminar el backdoor xcodespy de los navegadores web:

safari browser iconEliminar extensiones maliciosas de Safari:

Eliminar las extensiones vinculadas a backdoor xcodespy de Safari:

preferencias de navegación en Safari

Abra el navegador Safari; desde la barra de menú, seleccione "Safari" y haga clic en "Preferencias...".

pantalla de extensiones en safari

En la ventana de preferencias, seleccione "Extensiones" y revise si se han añadido recientemente extensiones sospechosas. Si las encuentra, haga clic en el botón "Desinstalar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Safari, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

  • Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restaure Safari.

firefox browser iconEliminar complementos maliciosos de Mozilla Firefox:

Eliminar los complementos vinculados a backdoor xcodespy de Mozilla Firefox:

cómo acceder a los complementos de mozilla firefox

Abra su navegador Mozilla Firefox. En la parte superior derecha de la pantalla, haga clic en "Abrir Menú" (tres líneas horizontales). Del menú desplegado, elija "Complementos".

Eliminar complementos malintencionados de Mozilla Firefox

Seleccione la pestaña "Extensiones" y mire si se han añadido recientemente complementos sospechosos. Si las encuentra, haga clic en el botón "Eliminar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Mozilla Firefox, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

chrome-browser-iconEliminar extensiones maliciosas de Google Chrome:

Eliminar los complementos vinculados a backdoor xcodespy en Google Chrome:

Eliminando extensiones maliciosas de Google Chrome paso 1

Abra Google Chrome y haga clic en el botón "menú de Chrome" (tres barras horizontales) ubicado en la parte superior derecha de la pantalla del navegador. Del menú desplegable, seleccione "Más herramientas" y haga clic en "Extensiones".

Eliminando extensiones maliciosas de Google Chrome paso 2

En la pantalla "Extensiones", mire si se han añadido recientemente complementos sospechosos. Si los encuentra, haga clic en el botón de la papelera junto a ellos. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Google Chrome, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

Haga clic acá para publicar un comentario.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Backdoor XcodeSpy Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Backdoor XcodeSpy desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Backdoor XcodeSpy:

▼ ELIMINAR AHORA con Combo Cleaner (Mac)

Plataforma: macOS

Valoración de Combo Cleaner por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible.