Cómo eliminar el troyano de acceso remoto PureHVNC

¿Qué tipo de malware es PureHVNC?

PureHVNC es un troyano de acceso remoto (RAT). Este tipo de malware permite el acceso y control remoto de los dispositivos infectados. PureHVNC tiene amplias capacidades para robar datos. Este troyano se ha propagado a través de sitios web falsos de IA generativa promocionados en Facebook. Hay pruebas sólidas que sugieren que los ciberdelincuentes detrás de estas campañas son vietnamitas.

Descripción general del malware PureHVNC

PureHVNC se ha propagado a través de campañas de publicidad maliciosa en Facebook con temática de IA (se puede encontrar más información al respecto más adelante en el artículo). Sin embargo, este troyano también podría distribuirse utilizando diferentes métodos. PureHVNC es un RAT (troyano de acceso remoto), un programa malicioso diseñado para permitir el acceso y el control remotos de los equipos.

El malware se infiltra en los sistemas en una cadena de dos etapas. El ejecutable de la primera etapa lanza un cargador; se han encontrado varios diferentes, la mayoría basados en .NET. Se han observado múltiples casos en los que el ejecutable implementa una compilación .NET Ahead-Of-Time (AOT) con fines de antianálisis y antidetección.

La primera etapa está orientada a evadir la detección y prevenir el análisis (por ejemplo, buscando información relacionada con máquinas virtuales, entornos sandbox, software de seguridad, etc.), garantizar la persistencia e inyectar más carga útil. PureHVNC es la carga útil principal que se introduce en la segunda etapa.

Como se menciona en la introducción, este RAT tiene muchas funciones de robo de datos. Puede extraer y filtrar información de navegadores basados en Chromium y extensiones de navegador (lista completa más abajo). Los datos objetivo pueden incluir historiales de navegación y de motores de búsqueda, cookies de Internet, credenciales de inicio de sesión, datos de identificación personal, números de tarjetas de crédito/débito, etc.

El troyano también puede recopilar datos asociados con carteras de criptomonedas, clientes de correo electrónico y mensajeros (enumerados a continuación). PureHVNC utiliza complementos para obtener funcionalidades adicionales. Uno de los complementos conocidos utilizados por este troyano rastrea las ventanas en primer plano y toma capturas de pantalla de ellas cuando se detecta una palabra clave de interés. Las palabras objetivo se centran principalmente en bancos, banca y carteras de criptomonedas (lista de palabras clave conocidas).

En resumen, la presencia de software malicioso como PureHVNC RAT en los dispositivos puede provocar múltiples infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.

Ejemplos de troyanos de acceso remoto

Hemos investigado numerosos RAT; CurlBack, ResolverRAT, Neptune, Lilith y Triton son solo algunos de nuestros artículos más recientes. Estos troyanos pueden ser increíblemente versátiles y multifuncionales. Sin embargo, incluso el malware con capacidades limitadas supone un peligro significativo. Es más, los programas maliciosos suelen utilizarse en combinación con otros.

Sin embargo, independientemente de cómo funcione el malware, su presencia en un sistema amenaza la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.

¿Cómo se infiltró PureHVNC en mi ordenador?

PureHVNC se ha propagado a través de campañas de publicidad maliciosa en Facebook utilizando señuelos generativos con temática de IA. Se han descubierto más de setenta publicaciones y múltiples anuncios pagados en dicha plataforma. Este contenido promocionaba sitios web falsos que imitaban a Kling AI, un servicio de IA generativa desarrollado por Kuaishou Technology.

Los usuarios podían subir imágenes a los sitios fraudulentos para producir una imagen o un vídeo generado por IA, pero en lugar de descargar el resultado, descargaban un archivo ZIP. Este archivo contenía un ejecutable (.exe) cuyo tipo de archivo estaba disimulado con un nombre extenso lleno de caracteres de relleno Hangul y una extensión falsa MP4 o JPG.

No es improbable que existan otros métodos de distribución. Las técnicas de phishing e ingeniería social son habituales en la proliferación de malware. El software malicioso suele disfrazarse o incluirse en archivos de programas o multimedia normales. Los archivos infecciosos pueden ser archivos comprimidos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), documentos (PDF, Microsoft Office, Microsoft OneNote, etc.), JavaScript, etc.

El malware se propaga principalmente a través de troyanos (cargadores/puertas traseras), descargas drive-by (sigilosas/engañosas), archivos adjuntos o enlaces maliciosos en correos electrónicos/mensajes spam, estafas en línea, publicidad maliciosa, canales de descarga dudosos (por ejemplo, sitios web de software gratuito y de terceros, redes de intercambio P2P, etc.), actualizaciones falsas y herramientas de activación de software ilegales («cracks»).

Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, unidades flash USB, etc.).

¿Cómo evitar la instalación de malware?

Recomendamos actuar con precaución al navegar, ya que Internet está lleno de contenido engañoso y malicioso. Los correos electrónicos entrantes, los mensajes privados/directos, los SMS y otros mensajes deben tratarse con cuidado. No se deben abrir los archivos adjuntos o enlaces que se encuentren en correos sospechosos/irrelevantes, ya que pueden ser infecciosos.

Recomendamos descargar solo de fuentes oficiales y verificadas. Otra recomendación es activar y actualizar el software utilizando funciones/herramientas genuinas, ya que las obtenidas de terceros pueden contener malware.

Es esencial tener instalado un antivirus de confianza y mantenerlo actualizado. Se deben utilizar programas de seguridad para realizar análisis periódicos del sistema y eliminar las amenazas detectadas. Si cree que su ordenador ya está infectado, le recomendamos que realice un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Publicidad maliciosa en Facebook utilizada para promocionar PureHVNC (fuente de la imagen – Check Point):

Perfil falso de Kling AI en Facebook utilizado para promocionar PureHVNC:

Sitios web falsos de IA generativa que engañan a las víctimas para que descarguen PureHVNC:

Ejemplo 1:

Ejemplo 2:

Navegadores atacados por PureHVNC:

7Star, 360Browser, Amigo, Atom, Brave, CentBrowser, Chedot, Chrome, ChromePlus, Chromodo, Citrio, CocCoc, Comodo, Coowon, Dragon, Edge, Elements, Epic, Iridium, K-Melon, Kometa, liebao, Maxthon3, Nichrome, Orbitum, Privacy, QIP, QQBrowser, Sleipnir5, Sputnik, Surf, Torch, Uran, y Vivaldi.

Extensiones de navegador relacionadas con criptomonedas:

Binance Chain Wallet, BitApp, BitClip, BitKeep, Braavos, Coin98, Coinbase, CONex, Cyano, EQUAL, Exodus, Finnie, Guarda, iWallet, Jaxx, Keeper, Keplr, Liberty, Liquality, Math, MetaMask, MOBOX, Nifty, Phantom, Rabet, Ronin, Solana, Swash, Terra Station, TezBox, TronLink, Trust, Waves Keeper, Wombat, XDCPay, XDEFI, Yoroi, y ZilPay.

Extensiones de navegador de autenticación y gestión de contraseñas afectadas:

Authenticator, Authy, EOS Authenticator, GAuth Authenticator, y Trezor Password Manager.

Criptomonederos de escritorio específicos:

• Atomic Wallet
• Bitcoin-Qt
• Dash-Qt
• Electrum
• Ethereum
• Exodus
• Jaxx
• Ledger Live
• Litecoin-Qt
• Zcash

Otro software específico:

• Foxmail
• Telegram

Palabras clave buscadas por PureHVNC:

ABANCA, atomic wallet, atomicwallet, Banca Agricola Popolare, Banca Monte dei Paschi di Siena, Banca Sella Group, Banco Aliado, Banco Ambrosiano, banco av villas, Banco Azteca, banco bac, Banco BBP, banco bbva, Banco BCT Bank International, Banco Bi-Bank, Banco Caja Social, Banco ctt, Banco da Itália, Banco Davivienda, Banco de Bogotá, Banco de Occidente, Banco di Napoli, Banco do Brasil, Banco do Nordeste, Banco Ficohsa, banco general, Banco General Panamá, banco GNB, Banco inter, Banco pan, Banco Santander, Bancolombia, banistmo, bank of america, Bankinter, bbva, BBVA Colômbia, binance, Brandesco, Bybit, Caixa geral de depósitos, caixabank, Caja de Ahorros, chase bank, Citibank Colômbia, Citigroup, coinbase, Colpatria, Credito agricola, dkb bank, dkb.de, Eurobic, exodus, facebook ads, FinecoBank, Gate.io, gemini.com, gemini.com/exchange, GNB Sudameris, Goldman Sachs, google ads, HSBC, Huntington, Intesa Sanpaolo, Itaú Corpbanca Colômbia, JP Morgan Chase, Lloyds Bank, metamask, Metro Bank, Moey, Montepio, Novobanco, Nubank, Openbank, paypal, Poloniex, Prosperity Bank, Revolut, Sanpaolo IMI, Santander, Santander UK, Starling Bank, Truist Bank, trustwallet, Unibanco, UniCredit, usbank, Virgin Money UK, wellsfargo, westernunion.

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

• ¿Qué es PureHVNC?
• PASO 1. Eliminación manual del malware PureHVNC.
• PASO 2. Compruebe si su ordenador está limpio.

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que desea eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se ejecuta en el equipo de un usuario:

Si ha comprobado la lista de programas que se están ejecutando en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:

Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:

Reinicie el equipo en modo seguro:

Usuarios de Windows XP y Windows 7: Inicie el equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de inicio del equipo, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú Opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red. Vaya a la pantalla de inicio de Windows 8, escriba «Avanzado» y, en los resultados de búsqueda, seleccione «Configuración». Haga clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, seleccione «Inicio avanzado».

Haga clic en el botón «Reiniciar ahora». El equipo se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haga clic en el botón «Solucionar problemas» y, a continuación, haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». El equipo se reiniciará y aparecerá la pantalla Configuración de inicio. Pulse F5 para arrancar en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» del teclado. En la ventana «Elija una opción», haga clic en «Solucionar problemas» y, a continuación, seleccione «Opciones avanzadas».

En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la ventana siguiente, debe hacer clic en la tecla «F5» del teclado. Esto reiniciará el sistema operativo en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».

Comprueba la lista proporcionada por la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.

Debe anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione «Eliminar».

Después de eliminar el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecute automáticamente la próxima vez que se inicie el sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.

Reinicie el ordenador en modo normal. Si sigue estos pasos, debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tiene, deje la eliminación de malware en manos de programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice un software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware PureHVNC, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?

La eliminación de malware rara vez requiere formatear.

¿Cuáles son los mayores problemas que puede causar el malware PureHVNC?

Las amenazas que plantea una infección dependen de las capacidades del malware y del modus operandi de los ciberdelincuentes. PureHVNC permite el control remoto de dispositivos y tiene amplias funciones de robo de datos. En general, el malware de este tipo puede causar múltiples infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.

¿Cuál es el propósito del malware PureHVNC?

El malware se utiliza principalmente para generar ingresos. Sin embargo, los ciberdelincuentes también pueden utilizar software malicioso para divertirse, vengarse, interrumpir procesos (por ejemplo, sitios web, servicios, empresas, etc.), hacktivismo y lanzar ataques por motivos políticos o geopolíticos.

¿Cómo se infiltró el malware PureHVNC en mi ordenador?

PureHVNC se ha propagado a través de contenido falso generado por IA distribuido por sitios falsos promocionados a través de Facebook. Existen otras técnicas de distribución posibles. El malware se propaga principalmente a través de troyanos, descargas no solicitadas, estafas en línea, publicidad maliciosa, correo spam, canales de descarga sospechosos (por ejemplo, sitios web de software gratuito y de terceros, redes de intercambio P2P, etc.), herramientas de activación de software ilegales («cracks») y actualizaciones falsas.

¿Combo Cleaner me protegerá del malware?

Combo Cleaner es capaz de detectar y eliminar prácticamente todas las infecciones de malware conocidas. Recuerde que es esencial realizar un análisis completo del sistema, ya que el software malicioso sofisticado suele ocultarse en lo más profundo de los sistemas.