NexusRAT Malware

¿Qué tipo de malware es NexusRAT?

NexusRAT es un troyano de acceso remoto (RAT) que utiliza ataques de superposición y registro de pulsaciones de teclas para robar credenciales bancarias. Su comportamiento se asocia comúnmente con troyanos bancarios. Normalmente, los ciberdelincuentes utilizan herramientas maliciosas como NexusRAT para recopilar datos que pueden ser utilizados indebidamente para el secuestro de cuentas y el fraude financiero. Si se detecta en un dispositivo, NexusRAT debe eliminarse de inmediato.

Malware NexusRAT

Más información sobre NexusRAT

Uno de los componentes de la distribución de NexusRAT involucra un archivo ZIP que contiene imágenes de interfaces bancarias de diferentes bancos (al menos 36 bancos). Estas imágenes se utilizan para imitar visualmente el sitio web del banco. El malware monitorea la ventana activa del navegador y compara los títulos de las ventanas o los identificadores de página con los bancos objetivo.

Cuando la víctima abre un sitio bancario compatible (por ejemplo, Bancolombia), el RAT muestra una superposición falsa que imita la página de inicio de sesión del banco. Tan pronto como la víctima comienza a escribir las credenciales, el malware coloca otra superposición sobre los campos de entrada de credenciales y captura las pulsaciones de teclas mediante keylogging.

Los nombres de usuario, contraseñas y otras credenciales bancarias robadas se transmiten de vuelta al C2 controlado por el atacante. Los ciberdelincuentes pueden usar las credenciales bancarias robadas para iniciar sesión en las cuentas de las víctimas y transferir dinero (o realizar otras acciones maliciosas) sin permiso.

Los nombres de usuario y contraseñas capturados también pueden reutilizarse en otros servicios (por ejemplo, redes sociales o cuentas de correo electrónico) si la víctima usa las mismas credenciales en otros sitios. La información personal y financiera robada también puede venderse en la dark web o usarse para el robo de identidad. Si se capturan contraseñas de un solo uso u otros datos similares, los actores de amenazas pueden eludir verificaciones de seguridad adicionales.

Resumen De La Amenaza:
Nombre	NexusRAT banking malware
Tipo De Amenaza	Troyano de acceso remoto
Nombres De Detección	Avast (Script:SNH-gen [Trj]), Combo Cleaner (Generic.INF.Cmst.A.74E811C5), ESET-NOD32 (VBS/Obfuscated.DZ Trojan), Kaspersky (HEUR:Trojan.VBS.SAgent.gen), Microsoft (Trojan:VBS/Obfuse.PX!MTB), Lista Completa (VirusTotal)
Síntomas	Los troyanos están diseñados para infiltrarse sigilosamente en el equipo de la víctima y permanecer en silencio, por lo que no se observan síntomas particulares de forma clara en un equipo infectado.
Métodos De Distribución Posibles	Archivos adjuntos de correo electrónico infectados, páginas maliciosas, archivos de script infectados.
Daños	Contraseñas e información bancaria robadas, robo de identidad y otros problemas.
Eliminación de Malware	Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para Windows El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Conclusión

NexusRAT es un malware que utiliza ataques de superposición, monitoreo del navegador y keylogging para robar credenciales de las víctimas. Al imitar interfaces bancarias legítimas, el RAT permite a los actores de amenazas robar cuentas confidenciales y cometer fraude financiero. Las víctimas pueden experimentar problemas como pérdidas financieras y robo de identidad.

¿Cómo se infiltró NexusRAT en mi equipo?

NexusRAT se distribuye mediante correos electrónicos engañosos que contienen un archivo SVG. Este archivo contiene una imagen que, si se hace clic en ella, abre una página maliciosa utilizando una URL blob. Ese sitio web descarga un archivo comprimido (un archivo ZIP) que contiene un script VBS. Este archivo VBS, si se ejecuta, desencadena la infiltración de NexusRAT.

En otros casos, el malware puede distribuirse mediante estafas de soporte técnico, software pirata, herramientas de cracking, generadores de claves maliciosos, anuncios engañosos, vulnerabilidades de software, descargadores de terceros, páginas falsas o secuestradas, u otros canales similares.

¿Cómo evitar la instalación de malware?

Descargue aplicaciones y archivos de fuentes confiables, como sitios web oficiales o tiendas de aplicaciones verificadas. Evite el software pirata, los cracks o los generadores de claves, y no haga clic en ventanas emergentes, anuncios o enlaces sospechosos en sitios web no confiables. Además, nunca permita notificaciones de sitios sospechosos.

Sea precavido con correos electrónicos o mensajes inesperados de remitentes desconocidos, especialmente si son irrelevantes o parecen inusuales, y no abra archivos adjuntos ni enlaces que parezcan sospechosos. Mantenga su sistema y aplicaciones actualizados, y ejecute análisis regulares con una solución de seguridad de confianza para detectar y eliminar amenazas.

Si cree que su equipo ya está infectado, le recomendamos ejecutar un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Apariencia de la cadena de infección (GIF):

Cadena de infección del malware NexusRAT

Correo electrónico malicioso que distribuye NexusRAT:

Correo electrónico spam utilizado para distribuir el malware NexusRAT

Sitio blob abierto a través del archivo adjunto:

URL blob del malware NexusRAT abierta mediante el archivo adjunto

Archivo descargado del sitio que contiene un script malicioso:

Archivo adjunto SVG del malware NexusRAT que contiene el malware

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

DESCARGAR Combo Cleaner

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

¿Qué es NexusRAT?
PASO 1. Eliminación manual del malware NexusRAT.
PASO 2. Compruebe si su equipo está limpio.

¿Cómo eliminar malware manualmente?

La eliminación manual de malware es una tarea complicada - normalmente es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware recomendamos usar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación se muestra un ejemplo de un programa sospechoso ejecutándose en el equipo de un usuario:

Proceso de malware ejecutándose en el Administrador de tareas

Si revisó la lista de programas que se ejecutan en su equipo, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

paso 1 de eliminación manual de malware Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, las ubicaciones del Registro y del sistema de archivos:

Apariencia de la aplicación Autoruns

paso 2 de eliminación manual de malware Reinicie su equipo en Modo seguro:

Usuarios de Windows XP y Windows 7: Inicie su equipo en Modo seguro. Haga clic en Inicio, en Apagar, en Reiniciar y en Aceptar. Durante el proceso de inicio del equipo, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red de la lista.

Ejecutar Windows 7 o Windows XP en Modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de Inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda seleccione Configuración. Haga clic en Opciones de inicio avanzado, en la ventana abierta «Configuración general del PC», seleccione Inicio avanzado.

Haga clic en el botón «Reiniciar ahora». Su equipo se reiniciará en el «menú de Opciones de inicio avanzado». Haga clic en el botón «Solucionar problemas» y luego en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». Su PC se reiniciará en la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Ejecutar Windows 8 en Modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» en su teclado. En la ventana «Elegir una opción», haga clic en «Solucionar problemas» y luego seleccione «Opciones avanzadas».

En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la siguiente ventana, debe pulsar la tecla «F5» en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Ejecutar Windows 10 en Modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

paso 3 de eliminación manual de malware Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraer el archivo Autoruns.zip y ejecutar la aplicación Autoruns.exe

paso 4 de eliminación manual de malware En la aplicación Autoruns, haga clic en «Options» en la parte superior y desmarque las opciones «Hide Empty Locations» y «Hide Windows Entries». Después de este procedimiento, haga clic en el icono «Refresh».

Actualizar los resultados de la aplicación Autoruns

paso 5 de eliminación manual de malware Revise la lista proporcionada por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar su ruta completa y nombre. Tenga en cuenta que algunos malware ocultan nombres de procesos bajo nombres legítimos de procesos de Windows. En esta etapa, es muy importante evitar eliminar archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic derecho sobre su nombre y seleccione «Delete».

Eliminar malware en Autoruns

Después de eliminar el malware a través de la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su equipo. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.

Buscar el malware y eliminarlo

Reinicie su equipo en modo normal. Seguir estos pasos debería eliminar cualquier malware de su equipo. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no posee estos conocimientos, deje la eliminación de malware a los programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware después. Para mantener su equipo seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su equipo esté libre de infecciones de malware, le recomendamos analizarlo con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi equipo está infectado con el malware NexusRAT, ¿debería formatear mi dispositivo de almacenamiento para deshacerme de él?

Formatear un dispositivo no siempre es necesario. El malware como NexusRAT a menudo puede detectarse y eliminarse con software de seguridad de confianza, por ejemplo herramientas como Combo Cleaner.

¿Cuáles son los mayores problemas que puede causar el malware?

El malware puede estar diseñado para robar credenciales de inicio de sesión y otros datos personales, implementar cargas útiles adicionales, cifrar archivos, minar criptomonedas o realizar otras acciones maliciosas. Puede provocar pérdidas financieras, robo de identidad, secuestro de cuentas, infecciones adicionales, pérdida de archivos u otros problemas.

¿Cuál es el propósito de NexusRAT?

El propósito de NexusRAT es robar información bancaria y personal confidencial de los dispositivos infectados. Lo hace monitoreando la actividad del usuario, mostrando superposiciones bancarias falsas y capturando las pulsaciones de teclas cuando las víctimas introducen sus datos de inicio de sesión.

¿Cómo se infiltró el malware NexusRAT en mi equipo?

NexusRAT se propaga mediante correos electrónicos engañosos que incluyen un archivo SVG. El SVG contiene una imagen en la que se puede hacer clic y que redirige al usuario a una página maliciosa creada con una URL blob. Desde allí, se descarga un archivo ZIP que incluye un script VBS. Si se ejecuta el script, se inicia la ejecución de NexusRAT en el sistema.

¿Me protegerá Combo Cleaner del malware?

Combo Cleaner es capaz de detectar y eliminar malware de un sistema infectado, aunque ciertas amenazas avanzadas pueden estar bien ocultas dentro del dispositivo. Por esta razón, se recomienda ejecutar un análisis completo del sistema para ayudar a identificar y eliminar todos los elementos maliciosos.