Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es DarkCloud?
DarkCloud es un programa malicioso clasificado como «stealer» (ladrón). El malware de esta clasificación está diseñado para robar información confidencial de los sistemas infectados. Se ha observado que el ladrón DarkCloud utiliza sofisticadas técnicas de infiltración y antianálisis/antidetección.
Descripción general del malware DarkCloud
DarkCloud se ha infiltrado en los sistemas a través de tres cadenas de infección diferentes. Todos estos procesos implican complejas medidas de protección para evitar el análisis y la detección; casi todas las etapas están protegidas.
Para ampliar un poco más sobre las cadenas conocidas, todas ellas comienzan con malspam (correos electrónicos maliciosos) que distribuyen archivos virulentos. Las cadenas se basan en diferentes formatos de archivo: RAR, TAR o 7Z (7-Zip). Los dos primeros contienen un archivo JavaScript (JS) cada uno, mientras que el 7Z contiene un archivo Windows Script File (WSF).
En la cadena que involucra el archivo JavaScript, se descarga/ejecuta un archivo PowerShell (PS1), que a continuación introduce un archivo ejecutable (EXE) que es el ladrón DarkCloud.
El proceso con el archivo de script de Windows también descarga y ejecuta un archivo PowerShell de la misma fuente, pero el archivo no es el mismo. En esta cadena, se escribe un ejecutable en el directorio de archivos temporales (carpeta %tmp%) con un nombre de archivo aleatorio. A continuación, se utiliza el archivo PowerShell para ejecutar el archivo EXE.
Para profundizar en algunos de los mecanismos utilizados en la cadena para la protección, se utiliza una ofuscación intensa. La carga útil de DarkCloud se puede proteger empleando ConfuserEx, un protector de aplicaciones .NET. En estos casos, también se utiliza el vaciado de procesos, una técnica que normalmente implica la creación de un proceso legítimo pero suspendido, cuya memoria se sobrescribe con el código de un ejecutable malicioso para ejecutarlo en lugar del proceso inocuo.
Se han observado casos en los que las infecciones de DarkCloud se basaban en AutoIt para evadir la detección del sistema. También se utilizó el cifrado para ofuscar partes del código.
Como se menciona en la introducción, DarkCloud es un ladrón que se centra en datos vulnerables. Busca en directorios específicos archivos de interés (por extensión y, potencialmente, por palabras clave como nombres de tarjetas de crédito).
Por lo general, los ladrones tienen la capacidad de extraer información de diversas aplicaciones, como navegadores, VPN, FTP, mensajeros, gestores de contraseñas, clientes de correo electrónico, carteras de criptomonedas, etc. La información objetivo puede incluir cookies de Internet, datos de identificación personal, nombres de usuario/contraseñas, números de tarjetas de crédito/débito, etc.
Cabe mencionar que los desarrolladores de malware suelen mejorar su software y sus metodologías. Por lo tanto, DarkCloud podría proliferar de forma diferente o utilizar otras técnicas de infiltración. Las posibles versiones futuras de este ladrón podrían tener capacidades y características adicionales o diferentes.
En resumen, la presencia de software como el ladrón DarkCloud en los dispositivos puede dar lugar a graves problemas de privacidad, pérdidas económicas y robo de identidad.
| Nombre | DarkCloud malware |
| Tipo de amenaza | Trojan, ladrón, virus que roba contraseñas. |
| Nombres de detección | Avast (Win32:Darkcloud-A [Spy]), Combo Cleaner (Generic.Dacic.CDD4E759.A.8A56DDEC), ESET-NOD32 (Una variante de Win32/Spy. VB.OLN), Kaspersky (Trojan-PSW.Win32.DarkCloud.aal), Microsoft (Trojan:Win32/DarkCloud!rfn), Lista completa de detecciones (VirusTotal) |
| Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no se observan síntomas particulares en un equipo infectado. |
| Métodos de distribución | Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, «cracks» de software. |
| Daños | Robo de contraseñas e información bancaria, robo de identidad, incorporación del ordenador de la víctima a una red de bots. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Ejemplos de malware de tipo ladrón
Hemos escrito sobre innumerables programas maliciosos; JSCEAL, RMC stealer, Leet, SHUYAL, y BOFAMET son solo algunos de nuestros artículos más recientes sobre programas ladrones. Este software puede dirigirse solo a datos específicos o a una amplia gama de datos.
Además, los programas de tipo ladrón suelen utilizarse en combinación con otro malware. Es más, las funciones de robo de datos son muy frecuentes en general.
Hay que destacar que, independientemente de cómo funcione el malware, su presencia en un sistema amenaza la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.
¿Cómo se infiltró DarkCloud en mi ordenador?
DarkCloud se ha propagado a través de campañas de correo electrónico no deseado que distribuyen un archivo en formato RAR, TAR o 7Z. Los archivos RAR y TAR contenían archivos JavaScript, y el 7Z, un archivo de script de Windows. Sin embargo, este ladrón podría proliferar utilizando diferentes técnicas o formatos. Los archivos maliciosos pueden ser archivos comprimidos, ejecutables, documentos (por ejemplo, Microsoft Office, Microsoft OneNote, PDF, etc.), JavaScript, etc. El simple hecho de abrir un archivo de este tipo puede ser suficiente para desencadenar la cadena de infección.
Los métodos de distribución de malware más utilizados incluyen: troyanos (puertas traseras/cargadores), descargas drive-by (sigilosas/engañosas), archivos adjuntos o enlaces maliciosos en correos electrónicos no deseados (por ejemplo, correos electrónicos, mensajes privados/directos, SMS, etc.), publicidad maliciosa, estafas en línea, programas/medios pirateados, fuentes de descarga dudosas (por ejemplo, sitios web de software gratuito y de terceros, redes de intercambio P2P, etc.), herramientas de activación de software ilegales («cracks») y actualizaciones falsas.
Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, unidades flash USB, etc.).
¿Cómo evitar la instalación de malware?
La precaución es fundamental para garantizar la seguridad del dispositivo y del usuario. Por lo tanto, manténgase siempre alerta cuando navegue por Internet, ya que está lleno de contenido engañoso y malicioso. Trate con cuidado los correos electrónicos y otros mensajes entrantes; no abra archivos adjuntos ni enlaces presentes en comunicaciones sospechosas o irrelevantes.
Además, descargue solo de fuentes oficiales y fiables. Active y actualice los programas utilizando las funciones y herramientas proporcionadas por los desarrolladores originales, ya que las obtenidas de terceros pueden contener malware.
Es esencial tener instalado un antivirus de confianza y mantenerlo actualizado. Este software debe utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas y problemas detectados. Si cree que su ordenador ya está infectado, le recomendamos que realice un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
DESCARGAR Combo CleanerSi decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
Menú rápido:
- ¿Qué es DarkCloud?
- PASO 1. Eliminación manual del malware DarkCloud.
- PASO 2. Compruebe si su ordenador está limpio.
¿Cómo eliminar el malware manualmente?
La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que desea eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se ejecuta en el equipo de un usuario:
Si ha comprobado la lista de programas que se están ejecutando en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reinicie el equipo en modo seguro:
Usuarios de Windows XP y Windows 7: Inicie el equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de inicio del equipo, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú Opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.
Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:
Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red. Vaya a la pantalla de inicio de Windows 8, escriba «Avanzado» y, en los resultados de búsqueda, seleccione «Configuración». Haga clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, seleccione «Inicio avanzado».
Haga clic en el botón «Reiniciar ahora». El equipo se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haga clic en el botón «Solucionar problemas» y, a continuación, haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».
Haga clic en el botón «Reiniciar». El equipo se reiniciará y aparecerá la pantalla Configuración de inicio. Pulse F5 para arrancar en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» del teclado. En la ventana «Elija una opción», haga clic en «Solucionar problemas» y, a continuación, seleccione «Opciones avanzadas».
En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la ventana siguiente, debe hacer clic en la tecla «F5» del teclado. Esto reiniciará el sistema operativo en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:
Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».
Comprueba la lista proporcionada por la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.
Debe anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione «Eliminar».
Después de eliminar el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecute automáticamente la próxima vez que se inicie el sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.
Reinicie el ordenador en modo normal. Si sigue estos pasos, debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tiene, deje la eliminación de malware en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice un software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner Antivirus para Windows.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware DarkCloud, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
La eliminación de malware rara vez requiere medidas tan drásticas.
¿Cuáles son los mayores problemas que puede causar el malware DarkCloud?
Las amenazas asociadas a una infección dependen de las funcionalidades del malware y de los objetivos de los ciberdelincuentes. DarkCloud es un ladrón que extrae datos confidenciales de los dispositivos infectados. Por lo general, los ladrones están relacionados con graves problemas de privacidad, pérdidas económicas y robo de identidad.
¿Cuál es el objetivo del malware DarkCloud?
El malware se utiliza principalmente para generar ingresos. Sin embargo, el software malicioso también puede utilizarse para divertir a los atacantes o para satisfacer sus rencores personales, interrumpir procesos (por ejemplo, sitios web, servicios, empresas, etc.), participar en hacktivismo y lanzar ataques con motivaciones políticas o geopolíticas.
¿Cómo se infiltró el malware DarkCloud en mi ordenador?
DarkCloud se ha propagado a través de correo electrónico malicioso. Podría distribuirse utilizando otros métodos, además de los correos electrónicos no deseados. Las técnicas de proliferación de malware más utilizadas son: descargas inadvertidas, troyanos, canales de descarga poco fiables (por ejemplo, sitios de software gratuito y alojamiento de archivos gratuitos, redes de intercambio P2P, etc.), publicidad maliciosa, estafas en línea, herramientas de activación de software ilegal («cracks»), contenido pirateado y actualizaciones falsas. Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.
¿Combo Cleaner me protegerá del malware?
Combo Cleaner es capaz de detectar y eliminar la mayoría de las infecciones de malware conocidas. Tenga en cuenta que es fundamental realizar un análisis completo del sistema, ya que los programas maliciosos sofisticados tienden a ocultarse en lo más profundo de los sistemas.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión