¿Cómo evitar la instalación de AppleJeus a través de JMT Trader?
Escrito por Tomas Meskauskas el (actualizado)
¿Cómo eliminar AppleJeus de Mac?
¿Qué AppleJeus?
AppleJeus es el nombre de un programa malicioso "backdoor" que es distribuido por el grupo Lazarus ; propagan este software malicioso a través de una app falsa que se disfrazaba como una aplicación de trading de criptomonedas llamada Celas Trade Pro. Hay una nueva app troyano de negociación de criptomonedas llamada JMT Trader que funciona muy similar: instala el troyano AppleJeus en el equipo de la víctima. JMT Trader puede instalarse tanto en Windows como en equipos Mac.
Para promocionar la aplicación JMT Traded, los ciberdelincuentes han creado un sitio web y una cuenta de Twitter supuestamente oficial. Los usuarios que intentan descargar JMT Trader van a GitHub, ambos ejecutable para Mac y Windows de JMT Trader se almacenan ahí. Este software se oculta como una aplicación completamente legítima que supuestamente permite a sus usuarios negociar con criptomonedas en varias plataformas. Al instalarse, JMT Trader infecta el equipo con un troyano de puerta trasera llamado AppleJeus con el pseudónimo de CrashReporter. Para lanzar CrashReporter cada vez que se inicia sesión, JMT Trader crea una tarea programada llamada JMTCrashReporter. Al lanzarse, CrashReporter se comunica con un servidor remoto para recibir y ejecutar comandos. Puede cerrarse a sí mismo, descargar y ejecutar archivos del servidor remoto, ejecutar comandos a través de shell, lo cual daría a los ciberdelincuentes un control total del sistema infectado. El proceso de CrashReporter se ejecuta con el mismo nombre tanto en Windows como Mac, este proceso está separado de JMT Trader, lo cual quiere decir que se ejecuta en segundo plano aunque este software no esté lanzado. Asimismo, CrashReporter como proceso daemon es un proceso en segundo plano que se ejecuta sin interfaz visible. Tenga en cuenta que al eliminar la aplicación JMT Trader, no se eliminará el software malicioso AppleJeus (CrashReporter), de ahí que debería analizar el sistema con un programa antivirus o antiespía fiable (p. ej., Combo Cleaner) para eliminar los remanentes.
Para camuflar Celas Trade Pro como app de trading legítima, los ciberdelincuentes no solo crearon un sitio web, sino que también fundaron una empresa. JMT Trader tiene también un sitio web de descargas y una cuenta de Twitter, ambas parecen legítimas. Aparte, JMT Trader es una copia de un software legítimo llamado QT Bitcoin Trader. Los nombres (JMT Trader y Celas Trade Pro) parecen ser los nombres de programas legítimos (y empresas), de ahí que los usuarios resulten engañados en su descarga e instalación. El troyano de puerta trasera AppleJeus que se instala a través de esas apps podría usarse para instalar software malicioso adicional (como ransomware), robar información confidencial (contraseñas, usuarios de varias cuentas), hacer capturas, etc. Para evitar la pérdida de datos y económica, suplantación de identidad y problemas con la privacidad, le recomendamos eliminar JMT Trader y todos los archivos vinculados a CrashReporter cuanto antes. Indicamos abajo las ubicaciones de los archivos maliciosos.
| Nombre | la puerta trasera de AppleJeus |
| Tipo de amenaza | Troyano, puerta trasera, software malicioso de Mac, software publicitario de Mac. |
| Detectada como (instalador de JMT Trader) | ALYac (Trojan.OSX.Agent.39168L), GData (Generic.Trojan.Agent.UXGSUS), Ikarus (Trojan.Win32.Casdet), Kaspersky (Backdoor.OSX.Agent.s), lista completa (VirusTotal) |
| Detectada como (CrashReporter on Mac) | BitDefender (Trojan.MAC.Agent.DU), DrWeb (Mac.Trojan.Siggen.1), ESET-NOD32 (OSX/NukeSped.B), Kaspersky (HEUR:Backdoor.OSX.Agent.s), lista completa (VirusTotal) |
| Síntomas | Los troyanos están diseñados para introducirse silenciosamente en el equipo de las víctimas y permanecer en silencio, de ahí que no se vean síntomas en el equipo infectado. |
| Formas de distribución | Supuestamente en su cuenta de Twitter y sitio web oficial, falsos instaladores de Flash, descargas de archivos torrent, herramientas de piratería de software. |
| Daño | Información bancaria robada, contraseñas, suplantación de la identidad, el equipo de la víctima se añade a una red de robots. |
| Información adicional | Este software malicioso afecta tanto a usuarios de Windows como de Mac. JMT Trader extrae un programa malicioso secundario (CrashReporter.exe) que funciona como puerta trasera. |
| Eliminación | Para eliminar posibles infecciones de malware, escanee su Mac con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Internet está llena de troyanos, algunos ejemplos son Casbaneiro, Bolik y Kryptik. Normalmente, los programas de este tipo están diseñados para propagar otro software malicioso. En cualquier caso, los usuarios que tengan su equipo infectado con programas de este tipo suelen experimentar serios problemas de privacidad, pérdida monetaria y de datos, suplantación de la identidad y otros problemas. Se facilitan más abajo las instrucciones de cómo hacerlo.
¿Cómo se instalaron apps potencialmente no deseadas en mi equipo?
A veces, las apps potencialmente no deseadas pueden descargarse desde sus sitios web. Esas páginas llevan a GtHub donde tanto los ejecutables de Windows como los de Mac se almacenan. Al descargarse y abrirse, esos ejecutables instalan JMT Trader y un segundo programa malicioso (de puerta trasera) llamado CrashReporter. Sin embargo, esta no es la única forma de propagar software malicioso. Normalmente, los ciberdelincuentes lo usan a través de campañas de spam, troyanos, fuentes de descarga de software poco fiables, falsas herramientas de actualización de software o activación no oficial. Los ciberdelincuentes propagan software malicioso a través de campañas de correo spam al enviar correos con adjuntos. La principal finalidad de esas campañas es engañar a los destinatarios a abrir el adjunto. Si se abre, infecta el sistema con software malicioso. Normalmente, envían documentos Microsoft Office, archivos ejecutables (como. exe), ficheros (como como ZIP, RAR), documentos PDF, archivos JavaScript, etc. Otra forma de propagar el software malicioso es usando fuentes de descarga dudosas. Por ejemplo, varias redes P2P (clientes torrent, eMule, etc.), alojamiento gratuito de archivos, sitios web de descarga de software y fuentes similares. Los usuarios que descargan archivos usando esos canales se arriesgan a descargar esos archivos que si se abren, instalarán software malicioso. Al abrirse, esos adjuntos instalan software malicioso. Para propagar esta infección, los ciberdelincuentes suelen usar varias aplicaciones de tipo publicitario. Algunas herramientas de piratería suelen descargar e instalar programas maliciosos en vez de activar software de pago o sistemas operativos gratuitamente. Infectan sistemas tras descargar software malicioso en vez de actualizarlos o tras aprovecharse de los errores y fallos de seguridad del software desactualizado.
¿Cómo se evita la instalación de software malicioso?
Evite abrir correos electrónicos que sean irrelevantes y hayan sido enviados por direcciones desconocidas o de dudosa fiabilidad. Si es irrelevante el correo electrónico recibido, le recomendamos ignorarlo y, más importante, mantenga el contenido cerrado. Descargue todos los programas usando enlaces directos y sitios web oficiales y de confianza. Le recomendamos encarecidamente dejar de usar asistentes de descarga o instaladores de terceros, páginas no oficiales o fuentes similares. Los actualizadores de terceros suelen estar diseñados para distribuir software malicioso u otro software no deseado. Actualice su software usando solo las funciones o herramientas facilitados por desarrolladores oficiales y no por asistentes de actualización de terceros. Aparte, no es legal activar software de pago usando varias herramientas piratas. Le recomendamos también tener un software antivirus o antiespía instalado y analizar el sistema operativo de forma frecuente. Si su equipo está ya infectado, le recomendamos realizar un análisis con Combo Cleaner para eliminar este software malicioso infiltrado de forma automática.
Capturas de pantalla de la aplicación JMT Trader:
Lista de archivos de CrashReporter:
- /Applications/JMTTrader.app/Contents/CrashReporter (MacOS)
- /Library/JMTTrader/CrashReporter (MacOS)
- %AppData%\JMTTrader\CrashReporter (Windows OS)
Captura de pantalla del instalador JMT Trader pidiendo permiso para instalar software adicional:
Proceso de CrashReporter ejecutándose en el Monitor de actividad:
Eliminación automática instantánea de malware para Mac:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, y está recomendado para acabar con el malware de Mac. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner para Mac
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es AppleJeus?
- PASO 1. Eliminar los archivos y carpetas relacionados con la aplicación no deseada de OSX.
- PASO 2. Eliminar extensiones malintencionadas de Safari..
- PASO 3. Eliminar complementos malintencionados de Google Chrome.
- PASO 4. Eliminar los complementos potencialmente no deseados de Mozilla Firefox.
Este vídeo muestra cómo eliminar el software publicitario y secuestradores de navegador de un equipo Mac:
Eliminar aplicaciones potencialmente no deseadas:
Elimine las aplicaciones potencialmente no deseadas de la carpeta "Aplicaciones":
Haga clic en el icono Finder. En la ventana del Finder, seleccione "Aplicaciones". En la carpeta de aplicaciones, busque por "MPlayerX", "NicePlayer" o cualquier aplicación sospechosa y arrástrelas hasta la papelera. Tras eliminar las aplicaciones "basura" responsables de que aparezcan anuncios en línea, analice su Mac con un antivirus para descubrir elementos no deseados que puedan seguir ahí.
Elimine los archivos y carpetas vinculados al la puerta trasera de applejeus:
Haga clic en el icono del Finder: en el menú superior. Seleccione "Ir" y haga clic en "Ir a la carpeta...".
Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchAgents:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchAgents
En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.
Revise si hay archivos generados por el adware en la carpeta /Library/Application Support:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/Application Support
En la carpeta “Application Support”, mire si hay carpetas sospechosas que se hayan añadido recientemente. Por ejemplo, “MplayerX” o “NicePlayer” y, en tal caso, envíe esas carpetas a la Papelera.
Revise si hay archivos vinculados al software publicitario en la carpeta ~/Library/LaunchAgents:
En el campo de texto de "Ir a la carpeta...", introduzca: ~/Library/LaunchAgents
En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.
Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchDaemons:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchDaemons
En la carpeta “LaunchDaemons”, mire si se han añadido recientemente archivos sospechosos. Por ejemplo, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., y, en tal caso, envíelos a la Papelera.
Analice su equipo Mac con Combo Cleaner:
Si ha seguido todos los pasos siguiendo el orden correcto, su equipo Mac debería encontrarse libre de infecciones. Para asegurarse de que su sistema no está infectado, analícelo con el antivirus Combo Cleaner. Descárguelo AQUÍ. Tras descargar el archivo, haga doble clic sobre el instalador combocleaner.dmg; en la nueva ventana, arrastre el icono de Combo Cleaner hasta el icono de Aplicaciones. Seguidamente, abra el launchpad y haga clic en el icono de Combo Cleaner. Espere a que Combo Cleaner actualice la base de datos de definiciones de viru y haga clic en el botón "Start Combo Scan".
Combo Cleaner bucará infecciones de software malicioso en su equipo. Si el resultado del análisis antivirus es "no threats found", quiere decir que puede continuar con la guía de desinfección; de lo contrario, se recomineda eliminar las infecciones encontradas antes de continuar.
Tras eliminar los archivos y carpetas generados por el software publicitario, siga eliminando las extensiones dudosas de sus navegadores web.
Eliminar el la puerta trasera de applejeus de los navegadores web:
Eliminar extensiones maliciosas de Safari:
Eliminar las extensiones vinculadas a la puerta trasera de applejeus de Safari:
Abra el navegador Safari; desde la barra de menú, seleccione "Safari" y haga clic en "Preferencias...".
En la ventana de preferencias, seleccione "Extensiones" y revise si se han añadido recientemente extensiones sospechosas. Si las encuentra, haga clic en el botón "Desinstalar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Safari, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restaure Safari.
Eliminar complementos maliciosos de Mozilla Firefox:
Eliminar los complementos vinculados a la puerta trasera de applejeus de Mozilla Firefox:
Abra su navegador Mozilla Firefox. En la parte superior derecha de la pantalla, haga clic en "Abrir Menú" (tres líneas horizontales). Del menú desplegado, elija "Complementos".
Seleccione la pestaña "Extensiones" y mire si se han añadido recientemente complementos sospechosos. Si las encuentra, haga clic en el botón "Eliminar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Mozilla Firefox, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restablezca Mozilla Firefox.
Eliminar extensiones maliciosas de Google Chrome:
Eliminar los complementos vinculados a la puerta trasera de applejeus en Google Chrome:
Abra Google Chrome y haga clic en el botón "menú de Chrome" (tres barras horizontales) ubicado en la parte superior derecha de la pantalla del navegador. Del menú desplegable, seleccione "Más herramientas" y haga clic en "Extensiones".
En la pantalla "Extensiones", mire si se han añadido recientemente complementos sospechosos. Si los encuentra, haga clic en el botón de la papelera junto a ellos. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Google Chrome, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restablezca Google Chrome.
¡Excelente!
▼ Mostrar discusión.