MetaRAT Malware

¿Qué tipo de malware es MetaRAT?

MetaRAT es una variante del conocido troyano de acceso remoto (RAT) PlugX. Está escrito en el lenguaje de programación C/C++ y admite comandos C2, como recopilar información del sistema y ejecutar comandos. También incluye herramientas adicionales, como un registrador de teclas. Si se detecta, MetaRAT debe eliminarse lo antes posible.

MetaRAT malware

Más información sobre MetaRAT

MetaRAT suele entrar a través de una DLL cargada lateralmente que carga una carga útil cifrada. Esta carga útil incluye código shell que descifra y descomprime el RAT real directamente en la memoria, lo que permite a MetaRAT funcionar sin crear un ejecutable visible en el disco. Una vez en funcionamiento, MetaRAT recopila inmediatamente información detallada del sistema y la envía a su servidor de comando y control.

Se comunica utilizando datos cifrados y puede operar a través de múltiples protocolos (TCP, HTTP/S, UDP, ICMP), lo que ayuda a que su tráfico parezca normal en la red y dificulta su detección. El malware admite componentes modulares, incluido un módulo keylogger que captura las pulsaciones del teclado y un complemento que ayuda a redirigir el tráfico de red a través del dispositivo infectado.

El keylogging permite a los ciberdelincuentes registrar todo lo que escribe la víctima. Puede capturar contraseñas, mensajes, números de tarjetas de crédito y otra información confidencial. Las pulsaciones robadas se transmiten al atacante sin que la víctima lo sepa.

Los atacantes también pueden ejecutar comandos arbitrarios de forma remota en el sistema infectado, lo que les proporciona un control adicional. Además, MetaRAT puede establecer persistencia a través de su método de carga o modificaciones del sistema, lo que le permite permanecer activo incluso después de reiniciar y apagar el sistema.

Los ciberdelincuentes pueden utilizar MetaRAT para robar contraseñas, datos bancarios y otros datos confidenciales, lo que puede provocar pérdidas económicas, robo de identidad, apropiación de cuentas y otros problemas graves. Además, pueden desplegar malware adicional, como ransomware o mineros de criptomonedas, para causar aún más daños.

Resumen de amenazas:
Nombre	Trojan de acceso remoto MetaRAT
Tipo de amenaza	Trojan de administración remota (RAT)
Nombres de detección	Avast (Otro: Malware-gen [Trj]), Combo Cleaner (Trojan.GenericS.9873), ESET-NOD32 (Generik.BDZRLMO Trojan), Kaspersky (Trojan.Win32.Zapchast.bort), Microsoft (Trojan:Win32/Malgent!MSR), Lista completa (VirusTotal)
Síntomas	Los troyanos de acceso remoto están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no se observan síntomas particulares claramente visibles en un equipo infectado.
Posibles métodos de distribución	DLL cargadas lateralmente, vulnerabilidades de software, sitios web comprometidos o falsos.
Daños	Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una red de bots, infecciones adicionales, pérdidas económicas.
Eliminación de Malware	Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para Windows El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Conclusión

MetaRAT es un RAT que se ejecuta en la memoria, lo que dificulta su detección. Una vez activo, recopila información del sistema, se comunica de forma segura con su servidor y proporciona a los atacantes el control del dispositivo. Sus módulos permiten a los ciberdelincuentes robar datos confidenciales y realizar otras acciones dañinas. Otros ejemplos de RAT son Syntrix, OctoRAT y ScoringMathTea.

¿Cómo se infiltró MetaRAT en mi ordenador?

MetaRAT puede entrar en los sistemas principalmente de dos maneras. En algunos ataques, los ciberdelincuentes se meten en la red de una empresa aprovechando las vulnerabilidades de los dispositivos Ivanti Connect Secure. Una vez que lo logran, pueden instalar MetaRAT en los dispositivos que quieren atacar.

En otros casos, MetaRAT llega a través de una DLL cargada lateralmente. Esto significa que los atacantes colocan una DLL maliciosa junto a un programa de confianza, obligando al programa a cargarla. Esa DLL contiene una carga útil cifrada que, en última instancia, ejecuta el RAT real en la memoria, lo que permite que el malware se inicie sin soltar un ejecutable normal.

¿Cómo evitar la instalación de malware?

No utilices programas pirateados, generadores de claves ni herramientas de craqueo, y descarga aplicaciones únicamente desde sitios web oficiales o tiendas de aplicaciones. Mantén tu sistema operativo y tu software actualizados. No abras archivos ni enlaces en correos electrónicos o mensajes inesperados de remitentes desconocidos. Bloquea los sitios web sospechosos para que no envíen notificaciones.

Evite interactuar con anuncios, ventanas emergentes u otros elementos de sitios web dudosos. Utilice una solución de seguridad de confianza y realice análisis periódicos del sistema. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

DESCARGAR Combo Cleaner

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

¿Qué es MetaRAT?
PASO 1. Eliminación manual del malware MetaRAT.
PASO 2. Comprueba si tu ordenador está limpio.

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que desea eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se ejecuta en el equipo de un usuario:

Proceso de malware ejecutándose en el Administrador de tareas

Si ha comprobado la lista de programas que se están ejecutando en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que le parece sospechoso, debe continuar con estos pasos:

paso de eliminación manual de malware 1 Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:

Apariencia de la aplicación Autoruns

paso de eliminación manual de malware 2 Reinicie el equipo en modo seguro:

Usuarios de Windows XP y Windows 7: Inicie el equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de inicio del equipo, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú Opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.

Ejecute Windows 7 o Windows XP en modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red. Vaya a la pantalla de inicio de Windows 8, escriba «Avanzado» y, en los resultados de búsqueda, seleccione «Configuración». Haga clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, seleccione «Inicio avanzado».

Haga clic en el botón «Reiniciar ahora». El equipo se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haga clic en el botón «Solucionar problemas» y, a continuación, haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». El equipo se reiniciará y aparecerá la pantalla Configuración de inicio. Pulse F5 para arrancar en modo seguro con funciones de red.

Ejecutar Windows 8 en modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» del teclado. En la ventana «Elija una opción», haga clic en «Solucionar problemas» y, a continuación, seleccione «Opciones avanzadas».

En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la ventana siguiente, debe hacer clic en la tecla «F5» del teclado. Esto reiniciará el sistema operativo en modo seguro con funciones de red.

Ejecutar Windows 10 en modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

paso de eliminación manual de malware 3 Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraiga el archivo Autoruns.zip y ejecute la aplicación Autoruns.exe

paso de eliminación manual de malware 4 En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».

Actualizar los resultados de la aplicación Autoruns

paso de eliminación manual de malware 5 Comprueba la lista proporcionada por la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.

Debe anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione «Eliminar».

Eliminar malware en Autoruns

Después de eliminar el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente la próxima vez que se inicie el sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.

Busca malware y elimínalo

Reinicie el ordenador en modo normal. Si sigue estos pasos, debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tiene, deje la eliminación de malware en manos de programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice un software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware MetaRAT, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?

Al formatear el dispositivo de almacenamiento se eliminará completamente MetaRAT, pero esta solución también borrará todos los datos, lo que no siempre es necesario. En la mayoría de los casos, las herramientas de seguridad como Combo Cleaner pueden detectar y eliminar la infección sin borrar el sistema.

¿Cuáles son los mayores problemas que puede causar el malware?

El malware puede recopilar información confidencial, como contraseñas o datos de pago, y también puede corromper, eliminar o bloquear archivos mediante cifrado. Puede propagarse a otros dispositivos, causar más infecciones o interrumpir las funciones del sistema. En algunos casos, utiliza los recursos del sistema para tareas como la minería de criptomonedas.

¿Cuál es el propósito de MetaRAT?

MetaRAT está diseñado para proporcionar a los atacantes acceso remoto a un sistema infectado, de modo que puedan robar datos confidenciales y ejecutar comandos en segundo plano. Su objetivo principal es recopilar información y mantener el control sin ser detectado.

¿Cómo se infiltró MetaRAT en mi ordenador?

MetaRAT suele infiltrarse en los sistemas aprovechando vulnerabilidades o utilizando un archivo DLL malicioso cargado lateralmente y colocado junto a un programa de confianza. En ambos casos, el malware carga su carga útil cifrada directamente en la memoria, lo que le permite ejecutarse sin dejar ningún archivo ejecutable en el disco.

¿Combo Cleaner me protegerá contra el malware?

Sí, Combo Cleaner puede detectar y eliminar la mayoría del malware, pero las amenazas avanzadas pueden ocultarse profundamente en el sistema, por lo que se recomienda encarecidamente realizar un análisis completo del sistema.