3Crypt RAT (Mac)

¿Qué tipo de malware es 3Crypt RAT?

3Crypt RAT es un troyano de acceso remoto dirigido a sistemas macOS. En el momento en que se ejecuta, realiza un análisis exhaustivo de la máquina infectada: recopila identificadores de hardware, lee la configuración de seguridad del dispositivo, mapea la red y enumera todos los procesos en ejecución. A continuación, instala múltiples mecanismos de persistencia para sobrevivir a los reinicios y utiliza una variedad de técnicas de evasión para ocultar su actividad tanto del usuario como del software de seguridad. Si se detecta 3Crypt RAT en un dispositivo, debe eliminarse lo antes posible.

Malware 3Crypt RAT

Descripción general de 3Crypt RAT

Tras su primera ejecución, 3Crypt RAT comienza inmediatamente a elaborar un perfil detallado del Mac infectado. Recopila información del hardware, incluyendo el nombre del modelo del dispositivo, el número de serie, el UUID, el modelo de CPU, la RAM instalada y la GPU. También lee el estado actual de las funciones de seguridad integradas en macOS: si la Protección de Integridad del Sistema (SIP) está activa, si el cifrado de disco FileVault está habilitado y si el firewall del sistema está activado. Esto proporciona al atacante una imagen inmediata del nivel de protección del objetivo antes de realizar cualquier otra acción.

El reconocimiento de red se ejecuta al mismo tiempo. El RAT identifica todas las interfaces de red disponibles, la puerta de enlace predeterminada, las direcciones del servidor DNS, la tabla ARP local y realiza un escaneo de puertos abiertos en la máquina. Paralelamente, utiliza interfaces de sistema de bajo nivel de macOS para obtener una lista completa de todos los procesos en ejecución, sentando las bases para que el operador pueda potencialmente inyectar código o interferir de algún modo con aplicaciones específicas.

Mecanismos de persistencia

3Crypt RAT instala tres mecanismos de persistencia independientes para sobrevivir a los reinicios y mantenerse activo incluso si uno de los métodos es eliminado. Escribe y carga inmediatamente un archivo de lista de propiedades LaunchAgent con el identificador com.test.3crypt, estableciendo la marca RunAtLoad para que macOS ejecute el RAT automáticamente cada vez que el usuario inicia sesión.

Los archivos de inicialización del shell también son modificados. El malware añade un marcador oculto en .zshrc, .bashrc y .bash_profile, asegurando que se vuelva a ejecutar cada vez que el usuario abra una sesión de terminal. Una tercera capa de persistencia proviene de una entrada en crontab, una tarea programada que puede activar el RAT a intervalos regulares de forma independiente a los otros mecanismos.

Evasión de defensas

3Crypt RAT utiliza varias técnicas para evitar la detección y dificultar el análisis forense. Inspecciona la cadena de marca del CPU y analiza los patrones de asignación de memoria para detectar si se está ejecutando dentro de una máquina virtual o un sandbox de seguridad automatizado. Si sospecha que está siendo analizado, puede modificar su comportamiento para evitar activar alarmas. También aplica medidas de anti-depuración mediante la llamada al sistema ptrace, lo que impide que los investigadores de seguridad conecten herramientas de análisis al proceso en ejecución.

Para obstaculizar la investigación forense, el RAT manipula las marcas de tiempo de los archivos mediante la llamada al sistema utimes, ocultando el momento real de sus operaciones de archivo en el disco. También inyecta entradas falsas en los registros del sistema, corrompiendo el rastro forense en el que normalmente confiarían los investigadores. Finalmente, utiliza osascript - el entorno de scripting integrado de macOS - para realizar ocultación contextual, lo que le permite camuflarse con la actividad legítima del sistema o suprimir su visibilidad dependiendo de lo que esté ejecutándose en la máquina.

Resumen De La Amenaza:
Nombre	3Crypt troyano de acceso remoto
Tipo De Amenaza	Troyano de acceso remoto (RAT), malware para Mac, virus para Mac
Nombres De Detección	Avast (MacOS:Agent-BJQ [Trj]), Combo Cleaner (Trojan.Generic.39971543), ESET-NOD32 (OSX/Agent.GV Trojan), Sophos (OSX/CRat-B), Lista Completa De Detecciones (VirusTotal)
Síntomas	Los troyanos de acceso remoto están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no hay síntomas particulares claramente visibles en una máquina infectada.
Métodos De Distribución Posibles	Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, «cracks» de software.
Daño	Contraseñas e información bancaria robadas, robo de identidad, el ordenador de la víctima añadido a una botnet, infecciones adicionales, pérdidas económicas, secuestro de cuentas, compromiso total del sistema.
Eliminación de Malware	Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para Windows El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Conclusión

3Crypt RAT es una herramienta de acceso remoto capaz y bien equipada que otorga al atacante acceso persistente y sigiloso al Mac infectado. Mediante la identificación del hardware, la enumeración de procesos, el reconocimiento de red y la persistencia en tres capas, establece un punto de apoyo sólido en el dispositivo comprometido. Sus técnicas de evasión - incluyendo la detección de máquinas virtuales, la anti-depuración, la manipulación de marcas de tiempo y la contaminación de registros - lo hacen particularmente difícil de detectar y analizar después de los hechos.

Las víctimas pueden enfrentarse al robo de datos, secuestro de cuentas, robo de identidad, pérdidas económicas y la posibilidad de que se instale malware adicional a través de la puerta trasera establecida. Dado que 3Crypt RAT opera en silencio, los usuarios a menudo no tienen indicios de que algo va mal. La eliminación debe llevarse a cabo tan pronto como se sospeche de una infección.

Más ejemplos de malware dirigido a macOS son Overlord, GolangGhost y Bella.

¿Cómo se infiltró 3Crypt RAT en mi ordenador?

Los métodos de distribución específicos utilizados para propagar 3Crypt RAT son actualmente desconocidos. En general, los troyanos de acceso remoto dependen del phishing y la ingeniería social para llegar a las víctimas. Los programas maliciosos suelen estar disfrazados o empaquetados con software o contenido multimedia legítimo, y simplemente abrir un archivo infectado puede ser suficiente para desencadenar una infección.

Los canales de distribución comunes incluyen archivos adjuntos de correo electrónico maliciosos, troyanos, descargas automáticas, fuentes de descarga dudosas como sitios de software gratuito y redes Peer-to-Peer, software y contenido multimedia pirateado, herramientas de activación ilegales («cracks»), y avisos falsos de actualización de software. Algunos programas maliciosos también son capaces de autopropagarse a través de redes locales y dispositivos de almacenamiento extraíbles como unidades flash USB.

¿Cómo evitar el malware?

Tenga cuidado con los correos electrónicos, mensajes directos y archivos de fuentes inesperadas o desconocidas. Evite abrir archivos adjuntos o hacer clic en enlaces de mensajes sospechosos. Descargue software únicamente de fuentes oficiales como la Mac App Store o el sitio web del desarrollador, y evite las aplicaciones pirateadas, los generadores de claves y los instaladores no oficiales. Mantenga macOS y todas las aplicaciones instaladas actualizadas regularmente.

Evite hacer clic en anuncios emergentes, enlaces sospechosos o notificaciones del navegador de sitios web desconocidos. Utilice una aplicación de seguridad de confianza y realice análisis del sistema periódicamente. Si su ordenador ya está infectado, le recomendamos ejecutar un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente todas las amenazas.

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

DESCARGAR Combo Cleaner

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

¿Qué es 3Crypt RAT?
Eliminar archivos y carpetas relacionados con 3Crypt RAT de OSX.

Eliminación de aplicaciones potencialmente no deseadas:

Elimine las aplicaciones potencialmente no deseadas de su carpeta «Aplicaciones»:

Eliminación manual de aplicaciones maliciosas de Mac

Haga clic en el icono del Finder. En la ventana del Finder, seleccione «Aplicaciones». En la carpeta de aplicaciones, busque «MPlayerX», «NicePlayer» u otras aplicaciones sospechosas y arrástrelas a la Papelera. Después de eliminar las aplicaciones potencialmente no deseadas que generan anuncios en línea, analice su Mac en busca de componentes no deseados restantes.

DESCARGAR eliminador de infecciones de malware

Combo Cleaner verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware 3Crypt RAT, ¿debería formatear mi dispositivo de almacenamiento para deshacerme de él?

El formateo eliminará completamente 3Crypt RAT, pero también borrará todo lo almacenado en el dispositivo. Antes de tomar una medida tan drástica, generalmente se recomienda probar primero con una herramienta de seguridad fiable como Combo Cleaner.

¿Cuáles son los mayores problemas que puede causar el malware 3Crypt RAT?

3Crypt RAT otorga a los atacantes acceso remoto persistente y silencioso al Mac infectado. Esto puede resultar en robo de datos, secuestro de cuentas, robo de identidad, pérdidas económicas y la implementación de malware adicional. Dado que utiliza técnicas de evasión y opera sin síntomas visibles, puede permanecer activo en un sistema durante mucho tiempo antes de ser descubierto.

¿Cuál es el propósito del malware 3Crypt RAT?

El propósito de 3Crypt RAT es proporcionar a los atacantes acceso remoto continuo a dispositivos macOS infectados. Al analizar el hardware, la configuración de seguridad, la red y los procesos en ejecución, proporciona al operador un conocimiento situacional detallado y un punto de apoyo persistente para futuros ataques o robo de datos.

¿Cómo se infiltró el malware 3Crypt RAT en mi ordenador?

Los métodos de distribución específicos de 3Crypt RAT aún no se conocen. El malware generalmente se propaga a través de correos electrónicos de phishing, instaladores troyanizados, contenido pirateado, anuncios maliciosos, actualizaciones de software falsas y cracks de software. Algunas amenazas también se propagan a través de redes locales o dispositivos de almacenamiento extraíbles.

¿Me protegerá Combo Cleaner del malware?

Sí, Combo Cleaner puede detectar y eliminar una amplia gama de amenazas. Sin embargo, algunos tipos de malware avanzado pueden ocultarse en las profundidades del sistema, por lo que se recomienda encarecidamente ejecutar un análisis completo para garantizar una eliminación total.