Cómo eliminar MODBEACON RAT del sistema operativo

Troyano

Conocido también como: Troyano de acceso remoto MODBEACON

Nivel de peligrosidad:

Obtenga un escaneo gratuito y verifique si su computadora está infectada.

ELIMÍNELO AHORA

Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

¿Qué tipo de malware es MODBEACON RAT?

MODBEACON es un troyano de acceso remoto (RAT) que permite a un operador remoto acceder en secreto a un equipo Windows infectado, ejecutar comandos y cargar complementos adicionales mientras permanece oculto en la memoria.

Según una investigación publicada por Qianxin Threat Intelligence Center, MODBEACON se utiliza en una campaña que los investigadores denominan «Operation Phnom Penh», dirigida por un actor de amenazas híbrido rastreado como Silver Fox, también conocido como «Ghost Distributor».

Este grupo combina la falsificación de software a gran escala con operaciones más dirigidas, incluidas campañas contra el sector del juego en línea de Camboya que utilizan señuelos en idioma jemer.

MODBEACON RAT

Más información sobre MODBEACON

MODBEACON está escrito en Rust y se ejecuta enteramente en memoria en sistemas Windows de 64 bits, lo que dificulta que las herramientas antivirus lo detecten en disco. Una vez activo, se comunica con su servidor de Comando y Control mediante gRPC transportado sobre HTTP/2, y todo el canal está envuelto en cifrado TLS, similar al tráfico web seguro normal.

Antes de aceptar órdenes, MODBEACON identifica el host, construyendo un perfil de la máquina en la que aterrizó, y se autentica ante el servidor C2 con un token de agente largo. Esto permite al operador confirmar exactamente con qué víctima está hablando y enviar instrucciones destinadas a ese dispositivo específico.

Diseño basado en complementos y comandos remotos

MODBEACON no incluye todas las capacidades desde el principio. En su lugar, utiliza una arquitectura basada en complementos, y sus operadores pueden insertar módulos nativos adicionales en la memoria, cargarlos y descargarlos una vez terminados.

Esto mantiene el núcleo del troyano pequeño mientras permite a un atacante añadir nuevas funciones bajo demanda, como más reconocimiento, acceso a archivos o cargas útiles adicionales. El malware también envía informes periódicos de heartbeat y de estado, permitiendo que el servidor C2 sepa que la máquina infectada está en línea y lista para recibir nuevos comandos.

Persistencia y evasión de defensas

Para sobrevivir a un reinicio, MODBEACON configura una suscripción a eventos WMI que crea un objeto temporizador oculto, junto con tareas programadas y un servicio de Windows, de modo que al menos un mecanismo reinicie el malware si otro es eliminado.

También crea un mutex global para que solo se ejecute una copia de sí mismo a la vez. En el lado de la red, MODBEACON disfraza su tráfico C2 usando una capa de transporte modelada según herramientas proxy anticensura, haciendo que el tráfico malicioso HTTP/2 y gRPC parezca similar al tráfico cifrado legítimo y ayudándolo a evadir la detección basada en red.

Resumen de la Amenaza:
Nombre Troyano de acceso remoto MODBEACON
Tipo De Amenaza Troyano de acceso remoto (RAT)
Nombres De Detección Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.GenericKD.80662733), ESET-NOD32 (Win64/Kryptik.HEH Trojan), Kaspersky (Backdoor.Win64.Agentb.aq), Microsoft (Trojan:Win64/ModBeacon.RV!MTB), Lista Completa (VirusTotal)
Síntomas Los troyanos de acceso remoto están diseñados para infiltrarse sigilosamente en el equipo de la víctima y permanecer en silencio, por lo que no se observan síntomas particulares claramente en una máquina infectada.
Métodos De Distribución Sitios web falsos, instaladores de software maliciosos.
Daño Contraseñas e información bancaria robadas, robo de identidad, el equipo de la víctima añadido a una botnet, infecciones adicionales, pérdidas monetarias, secuestro de cuentas.
Dominios Falsos Relacionados sogou-xp.com, sogou-pv.top, sogou-xp.top, sosou-win.top, lightninguxvpn.com.cn, xy-kuaimiao.com.cn, win-letstalk.com.cn, cn-mumu.com.cn, win-yifanyi.com.cn, winmumu.com.cn, i4as-cn.com.cn, lightningxanx.com.cn, cmumu.cn, kuaimiao-kv.com.cn, kuaimiao-vs.com.cn, lightninshanlian.com.cn
Eliminación de Malware

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.

Descargue Combo Cleaner para Windows

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Conclusión

MODBEACON otorga a sus operadores acceso continuo y oculto a un equipo infectado, la capacidad de insertar nuevos complementos a voluntad y un canal de red construido para eludir la supervisión de seguridad. Los equipos infectados con este RAT corren el riesgo de recibir cargas útiles adicionales, sufrir robo de datos y ser objeto de vigilancia encubierta a largo plazo, por lo que debe eliminarse tan pronto como se detecte.

Más ejemplos de RAT son RemotePE, Navi y Banana.

¿Cómo se infiltró MODBEACON RAT en mi equipo?

Según la investigación del Qianxin Threat Intelligence Center, MODBEACON es difundido por el grupo Silver Fox, también llamado «Ghost Distributor», mediante campañas de envenenamiento SEO que colocan páginas de descarga falsas de software popular del mercado chino en los primeros puestos de los resultados de búsqueda, de modo que las víctimas que buscan un programa legítimo terminan en un sitio falso.

Las páginas falsas observadas suplantan una amplia gama de herramientas cotidianas, incluidas el método de entrada Sogou, aplicaciones VPN vendidas bajo nombres como «闪连VPN» y «快喵VPN», la aplicación de mensajería Letstalk, el emulador de Android MuMu, la utilidad de gestión de iOS 爱思助手 (i4Tools) e incluso la herramienta de sandboxing Sandboxie etiquetada erróneamente como un programa de traducción. Cada instalador entrega MODBEACON en lugar del software anunciado, o junto a él.

El mismo actor ha ejecutado por separado campañas contra el sector de juegos de azar en línea de Camboya usando señuelos de phishing en idioma jemer, lo que demuestra que el grupo adapta su enfoque a diferentes grupos de víctimas. De manera más amplia, amenazas como MODBEACON también llegan a las víctimas a través de archivos adjuntos de correo electrónico infectados, anuncios maliciosos y otros canales de descarga poco fiables.

¿Cómo evitar la instalación de malware?

Descargue siempre software directamente del sitio web oficial del proveedor en lugar de confiar en los resultados de los motores de búsqueda, ya que las páginas envenenadas mediante SEO pueden posicionarse por encima de la página de descarga real y parecer casi idénticas a ella. Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico inesperados, y verifique dos veces el nombre de dominio de un sitio antes de descargar cualquier cosa.

Mantenga su sistema operativo y aplicaciones actualizados, y confíe en una herramienta de seguridad de buena reputación en lugar de suponer que un programa es seguro solo porque apareció cerca de la parte superior de una búsqueda. Si cree que su equipo ya está infectado, le recomendamos ejecutar un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

Sitios web falsos que distribuyen instaladores maliciosos que contienen MODBEACON RAT:

Sitio web falso del método de entrada Sogou que distribuye MODBEACON RAT Sitio web falso de Lightning VPN que distribuye MODBEACON RAT Sitio web falso de Kuaimiao VPN que distribuye MODBEACON RAT Sitio web falso de Letstalk que distribuye MODBEACON RAT Sitio web falso de herramienta de traducción que distribuye MODBEACON RAT Sitio web falso del emulador MuMu que distribuye MODBEACON RAT Sitio web falso de i4Tools que distribuye MODBEACON RAT Sitio web falso de Lightning VPN que distribuye MODBEACON RAT Sitio web falso de Kuaimiao VPN que distribuye MODBEACON RAT Sitio web falso de Kuaimiao VPN que distribuye MODBEACON RAT Sitio web falso de Lightning VPN que distribuye MODBEACON RAT

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

DESCARGAR Combo Cleaner

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

¿Cómo eliminar malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos usar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está tratando de eliminar. Aquí hay un ejemplo de un programa sospechoso ejecutándose en el equipo de un usuario:

Proceso de malware ejecutándose en el Administrador de tareas

Si revisó la lista de programas que se ejecutan en su equipo, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:

eliminación manual de malware paso 1Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:

Apariencia de la aplicación Autoruns

eliminación manual de malware paso 2Reinicie su equipo en Modo seguro:

Usuarios de Windows XP y Windows 7: Inicie su equipo en Modo seguro. Haga clic en Inicio, haga clic en Apagar, haga clic en Reiniciar, haga clic en Aceptar. Durante el proceso de inicio de su equipo, presione la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, y luego seleccione Modo seguro con funciones de red de la lista.

Ejecutar Windows 7 o Windows XP en Modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de Inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda seleccione Configuración. Haga clic en Opciones de inicio avanzado, en la ventana abierta «Configuración general del PC», seleccione Inicio avanzado.

Haga clic en el botón «Reiniciar ahora». Su equipo ahora se reiniciará en el «Menú de opciones de inicio avanzado». Haga clic en el botón «Solucionar problemas» y luego haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».

Haga clic en el botón «Reiniciar». Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para arrancar en Modo seguro con funciones de red.

Ejecutar Windows 8 en Modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto haga clic en «Reiniciar» mientras mantiene presionado el botón «Shift» en su teclado. En la ventana «elegir una opción» haga clic en «Solucionar problemas», luego seleccione «Opciones avanzadas».

En el menú de opciones avanzadas seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la siguiente ventana debe hacer clic en el botón «F5» de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Ejecutar Windows 10 en Modo seguro con funciones de red

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

eliminación manual de malware paso 3Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.

Extraer el archivo Autoruns.zip y ejecutar la aplicación Autoruns.exe

eliminación manual de malware paso 4En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».

Actualizar los resultados de la aplicación Autoruns

eliminación manual de malware paso 5Revise la lista proporcionada por la aplicación Autoruns y localice el archivo de malware que desea eliminar.

Debe anotar su ruta completa y nombre. Tenga en cuenta que algunos malware ocultan los nombres de proceso bajo nombres de procesos legítimos de Windows. En esta etapa, es muy importante evitar eliminar archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic derecho con el ratón sobre su nombre y elija «Eliminar».

Eliminar malware en Autoruns

Después de eliminar el malware a través de la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su equipo. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.

Buscar el malware y eliminarlo

Reinicie su equipo en modo normal. Seguir estos pasos debería eliminar cualquier malware de su equipo. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no tiene estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware.

Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su equipo seguro, instale las últimas actualizaciones del sistema operativo y use software antivirus. Para asegurarse de que su equipo esté libre de infecciones de malware, recomendamos analizarlo con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi equipo está infectado con el malware MODBEACON RAT, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?

Formatear eliminará MODBEACON RAT, pero también borra todos los archivos de la unidad. Normalmente se debe probar primero una herramienta de seguridad de buena reputación como Combo Cleaner.

¿Cuáles son los mayores problemas que puede causar el malware MODBEACON RAT?

MODBEACON RAT puede dar a los atacantes acceso remoto continuo a su equipo y permitirles cargar complementos maliciosos adicionales a voluntad. Esto puede conducir al robo de datos, infecciones adicionales y vigilancia encubierta a largo plazo.

¿Cuál es el propósito del malware MODBEACON RAT?

El propósito de MODBEACON RAT es dar a sus operadores acceso remoto encubierto y persistente a los equipos Windows infectados para que puedan emitir comandos y cargar complementos adicionales mientras evitan la detección.

¿Cómo se infiltró el malware MODBEACON RAT en mi equipo?

MODBEACON RAT se ha distribuido a través de instaladores falsos de software popular como aplicaciones VPN, métodos de entrada, emuladores y herramientas de gestión de iOS, entregados a las víctimas a través de resultados de búsqueda envenenados mediante SEO.

¿Me protegerá Combo Cleaner del malware?

Sí. Combo Cleaner puede detectar y eliminar la mayoría del malware conocido. Debido a que amenazas como MODBEACON RAT están diseñadas para ocultarse en lo más profundo del sistema, se recomienda ejecutar un análisis completo del sistema para asegurarse de que no se pase nada por alto.

Compartir:

facebook
X (Twitter)
linkedin
copiar enlace
Tomas Meskauskas

Tomas Meskauskas

Investigador experto en seguridad, analista profesional de malware

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.

▼ Mostrar discusión

El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.

Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Donar