Cómo eliminar el malware DUCKTAIL del sistema operativo
Escrito por Tomas Meskauskas el
¿Qué es DUCKTAIL?
DUCKTAIL es el nombre de un programa malicioso diseñado para robar cuentas de Facebook Business. Los ataques observados han sido muy selectivos.
Las investigaciones de WithSecure Intelligence sugieren que este malware existe desde 2021 y está asociado a ciberdelincuentes vietnamitas. En el momento de escribir este artículo, DUCKTAIL sigue recibiendo actualizaciones, incluyendo nuevas habilidades para evadir las medidas de seguridad de Facebook.
Resumen del malware DUCKTAIL
En el momento de escribir este artículo, las campañas de DUCKTAIL han sido muy individualizadas. Los ciberdelincuentes que están detrás de este malware buscan objetivos de interés en la plataforma Business/Ads de Facebook y van tras personas de alto rango.
El objetivo es obtener acceso a las cuentas de las víctimas que tienen un control significativo o total sobre una página de negocios de Facebook. Por ejemplo, las víctimas ideales de DUCKTAIL tendrían acceso como administrador o como editor de finanzas. El primero permite un control total sobre la cuenta empresarial, como la eliminación y la gestión (por ejemplo, la configuración, los privilegios, las funciones, las herramientas, etc.). Mientras que el secuestro del segundo permitiría a los ciberdelincuentes ver los datos financieros (por ejemplo, transacciones, facturas, gastos, métodos de pago, tarjetas de crédito, etc.) y abusar de ellos.
Tras una infiltración exitosa, DUCKTAIL comienza su operación buscando los navegadores instalados, concretamente buscando Google Chrome, Mozilla Firefox, Microsoft Edge o Brave. A partir de ahí, el malware busca identificar las rutas de las cookies y extraer las relativas a las sesiones de Facebook.
Estas cookies pueden contener los datos necesarios para que el malware acceda a la cuenta de Facebook de la víctima, pero el programa malicioso recopila cualquier información relevante que pueda encontrar, incluyendo todas y cada una de las credenciales de seguridad.
DUCKTAIL también comprueba si se requiere la autenticación de dos factores (2FA) y, en caso afirmativo, el programa intenta obtener los códigos de recuperación. Además de las cookies de sesión, el malware puede extraer tokens de acceso, agentes de usuario, direcciones IP (geolocalizaciones), códigos 2FA, etc.
DUCKTAIL suele robar las cuentas de las empresas a través de las cuentas personales de Facebook asociadas. Información como el ID de usuario de las víctimas, el nombre, la fecha de nacimiento y el correo electrónico, es de interés para este programa. El malware añade los correos electrónicos en posesión de los ciberdelincuentes a las cuentas Business de Facebook - estableciendo así el control sobre ellas.
Una vez que una cuenta de negocio/anuncio asociada es violada, DUCKTAIL recopila los siguientes datos: nombre(s), estado(s) de verificación, número de cuenta conectada, ciclos de gasto y pago de anuncios, permisos de la cuenta de anuncios, moneda establecida, usuarios pendientes, propietarios, roles de miembros, correos electrónicos vinculados, datos de clientes, etc.
En resumen, las infecciones de DUCKTAIL pueden dar lugar a graves problemas de privacidad, importantes pérdidas financieras y robo de identidad. Si sospecha que su dispositivo está infectado con DUCKTAIL (u otro malware), le recomendamos encarecidamente que utilice un antivirus para eliminarlo inmediatamente.
Y si cree que su(s) cuenta(s) ha(n) sido comprometida(s), cambie las contraseñas y póngase en contacto con el soporte oficial de Facebook sin demora.
Para garantizar la seguridad de sus cuentas, le recomendamos que opte por la autenticación de dos factores o de varios factores cuando sea posible, que utilice contraseñas seguras y que seleccione una configuración de acceso/privilegio/privacidad prudente.
| Nombre | Virus DUCKTAIL |
| Tipo de amenaza | Troyano, virus que roba contraseñas, malware bancario, spyware. |
| Nombres de detección | F-Secure (Trojan:W32/DuckTail.D), Webroot (W32.Trojan.Ducktail), Lista completa de detecciones (VirusTotal) |
| Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no hay síntomas particulares claramente visibles en una máquina infectada. |
| Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
| Daños | Robo de contraseñas e información bancaria, robo de identidad, incorporación del ordenador de la víctima a una red de bots. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de programas maliciosos que roban información
Hemos analizado miles de programas maliciosos, incluyendo aquellos que roban información particular como YTStealer, que tiene como objetivo cuentas de YouTube, y FFDroider, DevilsTongue, Redox, Ducky, que tienen como objetivo robar cuentas de Facebook entre otros datos.
Este tipo de malware puede buscar una gran variedad de información, y estos programas maliciosos pueden tener funcionalidades diferentes/adicionales. Sin embargo, independientemente de cómo opere el malware, las infecciones del sistema ponen en peligro la seguridad del dispositivo y del usuario. Por lo tanto, es esencial eliminar todas las amenazas inmediatamente después de su detección.
¿Cómo se infiltró DUCKTAIL en mi ordenador?
Como se ha mencionado anteriormente, las cadenas de infección de DUCKTAIL están hechas a medida de las víctimas potenciales. WithSecure Intelligence ha observado casos en los que este malware se distribuyó a través de la plataforma de redes empresariales LinkedIn.
Los investigadores de WithSecure Intelligence también han observado que los archivos infecciosos que inician las cadenas de infección de DUCKTAIL están alojados en servicios en la nube como Dropbox, MediaFire y iCloud. Los propios archivos solían ser archivos con nombres (a menudo genéricos) relacionados con la empresa objetivo.
Por lo general, el malware se propaga mediante técnicas de phishing e ingeniería social. Los archivos infecciosos pueden estar en varios formatos, por ejemplo, archivos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), documentos de Microsoft Office y PDF, JavaScript, etc. Cuando se pone en marcha, se ejecuta o se abre un archivo infeccioso, se inicia el proceso de descarga/instalación del malware.
Los métodos de distribución de software malicioso más utilizados son: descargas "drive-by" (sigilosas/engañosas), archivos adjuntos/enlaces en el correo spam, estafas en línea, fuentes de descarga poco fiables (por ejemplo, sitios web de programas gratuitos y de terceros, redes de intercambio P2P, etc.), publicidad maliciosa, herramientas ilegales de activación de programas ("cracks") y actualizaciones falsas.
¿Cómo evitar la instalación de programas maliciosos?
Aconsejamos no abrir los archivos adjuntos y los enlaces que se encuentran en los correos electrónicos y mensajes sospechosos/irrelevantes, ya que eso puede conducir a una infección del sistema. Es igualmente importante tener cuidado al navegar, ya que el material fraudulento y malicioso suele parecer legítimo.
También se recomienda descargar desde canales oficiales y verificados. Además, todos los programas deben ser activados y actualizados con herramientas proporcionadas por desarrolladores auténticos, ya que las herramientas de activación ilegales ("cracking") y los falsos actualizadores pueden contener malware.
Hay que insistir en la importancia de tener instalado y actualizado un antivirus de confianza. Este software debe utilizarse para realizar análisis regulares del sistema y eliminar amenazas y problemas. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
- ¿Qué es DUCKTAIL?
- PASO 1. Eliminación manual del malware DUCKTAIL.
- PASO 2. Comprobar si el ordenador está libre de virus.
¿Cómo eliminar el malware manualmente?
La eliminación manual del malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. Este es un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargar un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reiniciar su ordenador en Modo seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haga clic en Inicio, en Apagar, en Reiniciar y en Aceptar. Durante el proceso de inicio de su ordenador, pulse la tecla F8 de su teclado varias veces hasta que vea el menú de opciones avanzadas de Windows y, a continuación, seleccione el Modo seguro con funciones de red de la lista.
Vídeo que demuestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Iniciar Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el menú "Opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio".
Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de configuración de inicio. Pulse F5 para iniciar en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú abierto, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "Shift" del teclado. En la ventana "elige una opción" haga clic en "Solucionar problemas", a continuación seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana deberá pulsar la tecla "F5" de su teclado. Esto reiniciará su sistema operativo en modo seguro con red.
Vídeo que demuestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Extraer el archivo descargado y ejecutar el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desmarque las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Después de este procedimiento, haga clic en el icono "Actualizar".
Revisar la lista proporcionada por la aplicación Autoruns y localizar el archivo de malware que desea eliminar.
Deberá anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo los nombres legítimos de los procesos de Windows. En esta fase, es muy importante evitar la eliminación de archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione "Eliminar".
Tras eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el siguiente inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de proceder. Si encuentra el nombre del malware, asegúrese de eliminarlo.
Reinicie su ordenador en modo normal. Al seguir estos pasos se debería eliminar el malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación del malware en manos de los programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware después. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le aconsejamos que lo analice con Combo Cleaner.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware DUCKTAIL, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
No, la eliminación de DUCKTAIL no requiere medidas tan drásticas.
¿Cuáles son los principales problemas que puede causar el malware DUCKTAIL?
DUCKTAIL se dirige específicamente a las cuentas de Facebook Business. Por lo tanto, las amenazas que plantean estas infecciones incluyen: el compromiso de varias cuentas de Facebook (personales, de negocios, de anuncios, etc.), graves problemas de privacidad, importantes pérdidas financieras y robo de identidad.
¿Cuál es el objetivo del malware DUCKTAIL?
La mayoría de los programas maliciosos se utilizan para generar ingresos, y DUCKTAIL no es una excepción. Sin embargo, cabe mencionar que el malware puede ser lanzado con fines de prueba o para causar un caos sin sentido para la diversión de los atacantes. Los ataques de malware también pueden estar motivados por rencores personales y razones políticas/geopolíticas.
Me han robado las cuentas, ¿qué debo hacer?
En primer lugar, cambiar sin demora las contraseñas de todas las cuentas potencialmente comprometidas. En segundo lugar, informar a su soporte oficial. Si sospecha que su información personal identificable, financiera u otra información vulnerable ha sido expuesta, póngase inmediatamente en contacto con las autoridades correspondientes.
¿Cómo se ha infiltrado el malware DUCKTAIL en mi ordenador?
Los métodos de distribución de programas maliciosos más populares son: las descargas "drive-by", los correos electrónicos y mensajes de spam, los canales de descarga dudosos (por ejemplo, los sitios web de alojamiento de archivos no oficiales y gratuitos, las redes de intercambio P2P, etc.), las estafas en línea, las herramientas ilegales de activación de software ("cracking"), las actualizaciones falsas y la publicidad maliciosa. Algunos programas maliciosos también son capaces de autodifundirse a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner está diseñado para detectar y eliminar amenazas. Puede eliminar la mayoría de las infecciones de malware conocidas. Sin embargo, hay que destacar que es primordial realizar un análisis completo del sistema, ya que el software malicioso sofisticado tiende a esconderse en lo más profundo de los sistemas.
¡Excelente!
▼ Mostrar discusión.