FacebookTwitterLinkedIn

¿Cómo evitar la instalación de AppleJeus a través de JMT Trader?

Conocido también como: la puerta trasera de AppleJeus
Nivel de peligrosidad: Extremo

¿Cómo eliminar AppleJeus de Mac?

¿Qué AppleJeus?

AppleJeus es el nombre de un programa malicioso "backdoor" que es distribuido por el grupo Lazarus ; propagan este software malicioso a través de una app falsa que se disfrazaba como una aplicación de trading de criptomonedas llamada Celas Trade Pro. Hay una nueva app troyano de negociación de criptomonedas llamada JMT Trader que funciona muy similar: instala el troyano AppleJeus en el equipo de la víctima. JMT Trader puede instalarse tanto en Windows como en equipos Mac.

AppleJeus malware

Para promocionar la aplicación JMT Traded, los ciberdelincuentes han creado un sitio web y una cuenta de Twitter supuestamente oficial. Los usuarios que intentan descargar JMT Trader van a GitHub, ambos ejecutable para Mac y Windows de JMT Trader se almacenan ahí. Este software se oculta como una aplicación completamente legítima que supuestamente permite a sus usuarios negociar con criptomonedas en varias plataformas. Al instalarse, JMT Trader infecta el equipo con un troyano de puerta trasera llamado AppleJeus con el pseudónimo de CrashReporter. Para lanzar CrashReporter cada vez que se inicia sesión, JMT Trader crea una tarea programada llamada JMTCrashReporter. Al lanzarse, CrashReporter se comunica con un servidor remoto para recibir y ejecutar comandos. Puede cerrarse a sí mismo, descargar y ejecutar archivos del servidor remoto, ejecutar comandos a través de shell, lo cual daría a los ciberdelincuentes un control total del sistema infectado. El proceso de CrashReporter se ejecuta con el mismo nombre tanto en Windows como Mac, este proceso está separado de JMT Trader, lo cual quiere decir que se ejecuta en segundo plano aunque este software no esté lanzado. Asimismo, CrashReporter como proceso daemon es un proceso en segundo plano que se ejecuta sin interfaz visible. Tenga en cuenta que al eliminar la aplicación JMT Trader, no se eliminará el software malicioso AppleJeus (CrashReporter), de ahí que debería analizar el sistema con un programa antivirus o antiespía fiable (p. ej., Combo Cleaner) para eliminar los remanentes.

Para camuflar Celas Trade Pro como app de trading legítima, los ciberdelincuentes no solo crearon un sitio web, sino que también fundaron una empresa. JMT Trader tiene también un sitio web de descargas y una cuenta de Twitter, ambas parecen legítimas. Aparte, JMT Trader es una copia de un software legítimo llamado QT Bitcoin Trader. Los nombres (JMT Trader y Celas Trade Pro) parecen ser los nombres de programas legítimos (y empresas), de ahí que los usuarios resulten engañados en su descarga e instalación. El troyano de puerta trasera AppleJeus que se instala a través de esas apps podría usarse para instalar software malicioso adicional (como ransomware), robar información confidencial (contraseñas, usuarios de varias cuentas), hacer capturas, etc. Para evitar la pérdida de datos y económica, suplantación de identidad y problemas con la privacidad, le recomendamos eliminar JMT Trader y todos los archivos vinculados a CrashReporter cuanto antes. Indicamos abajo las ubicaciones de los archivos maliciosos.

Resumen de la amenaza:
Nombre la puerta trasera de AppleJeus
Tipo de amenaza Troyano, puerta trasera, software malicioso de Mac, software publicitario de Mac.
Detectada como (instalador de JMT Trader) ALYac (Trojan.OSX.Agent.39168L), GData (Generic.Trojan.Agent.UXGSUS), Ikarus (Trojan.Win32.Casdet), Kaspersky (Backdoor.OSX.Agent.s), lista completa (VirusTotal)
Detectada como (CrashReporter on Mac) BitDefender (Trojan.MAC.Agent.DU), DrWeb (Mac.Trojan.Siggen.1), ESET-NOD32 (OSX/NukeSped.B), Kaspersky (HEUR:Backdoor.OSX.Agent.s), lista completa (VirusTotal)
Síntomas Los troyanos están diseñados para introducirse silenciosamente en el equipo de las víctimas y permanecer en silencio, de ahí que no se vean síntomas en el equipo infectado.
Formas de distribución Supuestamente en su cuenta de Twitter y sitio web oficial, falsos instaladores de Flash, descargas de archivos torrent, herramientas de piratería de software.
Daño Información bancaria robada, contraseñas, suplantación de la identidad, el equipo de la víctima se añade a una red de robots.
Información adicional Este software malicioso afecta tanto a usuarios de Windows como de Mac. JMT Trader extrae un programa malicioso secundario (CrashReporter.exe) que funciona como puerta trasera.
Eliminación

Para eliminar la puerta trasera de AppleJeus, nuestros investigadores de software malicioso recomiendan analizar el equipo con Combo Cleaner.
▼ Descargar Combo Cleaner
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible.

Internet está llena de troyanos, algunos ejemplos son Casbaneiro, Bolik y Kryptik. Normalmente, los programas de este tipo están diseñados para propagar otro software malicioso. En cualquier caso, los usuarios que tengan su equipo infectado con programas de este tipo suelen experimentar serios problemas de privacidad, pérdida monetaria y de datos, suplantación de la identidad y otros problemas. Se facilitan más abajo las instrucciones de cómo hacerlo.

¿Cómo se instalaron apps potencialmente no deseadas en mi equipo?

A veces, las apps potencialmente no deseadas pueden descargarse desde sus sitios web. Esas páginas llevan a GtHub donde tanto los ejecutables de Windows como los de Mac se almacenan. Al descargarse y abrirse, esos ejecutables instalan JMT Trader y un segundo programa malicioso (de puerta trasera) llamado CrashReporter. Sin embargo, esta no es la única forma de propagar software malicioso. Normalmente, los ciberdelincuentes lo usan a través de campañas de spam, troyanos, fuentes de descarga de software poco fiables, falsas herramientas de actualización de software o activación no oficial. Los ciberdelincuentes propagan software malicioso a través de campañas de correo spam al enviar correos con adjuntos. La principal finalidad de esas campañas es engañar a los destinatarios a abrir el adjunto. Si se abre, infecta el sistema con software malicioso. Normalmente, envían documentos Microsoft Office, archivos ejecutables (como. exe), ficheros (como como ZIP, RAR), documentos PDF, archivos JavaScript, etc. Otra forma de propagar el software malicioso es usando fuentes de descarga dudosas. Por ejemplo, varias redes P2P (clientes torrent, eMule, etc.), alojamiento gratuito de archivos, sitios web de descarga de software y fuentes similares. Los usuarios que descargan archivos usando esos canales se arriesgan a descargar esos archivos que si se abren, instalarán software malicioso. Al abrirse, esos adjuntos instalan software malicioso. Para propagar esta infección, los ciberdelincuentes suelen usar varias aplicaciones de tipo publicitario. Algunas herramientas de piratería suelen descargar e instalar programas maliciosos en vez de activar software de pago o sistemas operativos gratuitamente. Infectan sistemas tras descargar software malicioso en vez de actualizarlos o tras aprovecharse de los errores y fallos de seguridad del software desactualizado.

¿Cómo se evita la instalación de software malicioso?

Evite abrir correos electrónicos que sean irrelevantes y hayan sido enviados por direcciones desconocidas o de dudosa fiabilidad. Si es irrelevante el correo electrónico recibido, le recomendamos ignorarlo y, más importante, mantenga el contenido cerrado. Descargue todos los programas usando enlaces directos y sitios web oficiales y de confianza. Le recomendamos encarecidamente dejar de usar asistentes de descarga o instaladores de terceros, páginas no oficiales o fuentes similares. Los actualizadores de terceros suelen estar diseñados para distribuir software malicioso u otro software no deseado. Actualice su software usando solo las funciones o herramientas facilitados por desarrolladores oficiales y no por asistentes de actualización de terceros. Aparte, no es legal activar software de pago usando varias herramientas piratas. Le recomendamos también tener un software antivirus o antiespía instalado y analizar el sistema operativo de forma frecuente. Si su equipo está ya infectado, le recomendamos realizar un análisis con Combo Cleaner para eliminar este software malicioso infiltrado de forma automática.

Capturas de pantalla de la aplicación JMT Trader:

JMT Trader crea nueva contraseña JMT Trader lista de plataformas de intercambio JMT Trader panel de control

Lista de archivos de CrashReporter:

  • /Applications/JMTTrader.app/Contents/CrashReporter (MacOS)
  • /Library/JMTTrader/CrashReporter (MacOS)
  • %AppData%\JMTTrader\CrashReporter (Windows OS)

Captura de pantalla del instalador JMT Trader pidiendo permiso para instalar software adicional:

instalador JTM Trader pidiendo permiso para instalar programas adicionales

Proceso de CrashReporter ejecutándose en el Monitor de actividad:

proceso CrashReporter.exe en el monitor de actividad

Eliminar automáticamente de forma instantánea la puerta trasera de AppleJeus: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con la puerta trasera de AppleJeus. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner (Mac) Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Este vídeo muestra cómo eliminar el software publicitario y secuestradores de navegador de un equipo Mac:

Eliminar aplicaciones potencialmente no deseadas:

Elimine las aplicaciones potencialmente no deseadas de la carpeta "Aplicaciones":

eliminar el secuestrador de navegadores de la carpeta aplicaciones de mac

Haga clic en el icono Finder. En la ventana del Finder, seleccione "Aplicaciones". En la carpeta de aplicaciones, busque por "MPlayerX", "NicePlayer" o cualquier aplicación sospechosa y arrástrelas hasta la papelera. Tras eliminar las aplicaciones "basura" responsables de que aparezcan anuncios en línea, analice su Mac con un antivirus para descubrir elementos no deseados que puedan seguir ahí.

Elimine los archivos y carpetas vinculados al la puerta trasera de applejeus:

 comando ir a la carpeta del Finder

Haga clic en el icono del Finder: en el menú superior. Seleccione "Ir" y haga clic en "Ir a la carpeta...".

step1Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchAgents

cómo eliminar software publicitario de la carpeta launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step2Revise si hay archivos generados por el adware en la carpeta /Library/Application Support:

cómo eliminar software publicitario de la carpeta application support paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/Application Support

removing adware from application support folder step 2

En la carpeta “Application Support”, mire si hay carpetas sospechosas que se hayan añadido recientemente. Por ejemplo, “MplayerX” o “NicePlayer” y, en tal caso, envíe esas carpetas a la Papelera.

step3Revise si hay archivos vinculados al software publicitario en la carpeta ~/Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta ~launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: ~/Library/LaunchAgents

cómo eliminar software publicitario desde la carpeta ~launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step4Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchDaemons:

cómo eliminar software publicitario de la carpeta launch daemons paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchDaemons

cómo eliminar software publicitario de la carpeta launch daemons paso 2

En la carpeta “LaunchDaemons”, mire si se han añadido recientemente archivos sospechosos. Por ejemplo, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., y, en tal caso, envíelos a la Papelera.

step 5 Analice su equipo Mac con Combo Cleaner:

Si ha seguido todos los pasos siguiendo el orden correcto, su equipo Mac debería encontrarse libre de infecciones. Para asegurarse de que su sistema no está infectado, analícelo con el antivirus Combo Cleaner. Descárguelo AQUÍ. Tras descargar el archivo, haga doble clic sobre el instalador combocleaner.dmg; en la nueva ventana, arrastre el icono de Combo Cleaner hasta el icono de Aplicaciones. Seguidamente, abra el launchpad y haga clic en el icono de Combo Cleaner. Espere a que Combo Cleaner actualice la base de datos de definiciones de viru y haga clic en el botón "Start Combo Scan".

scan-with-combo-cleaner-1

Combo Cleaner bucará infecciones de software malicioso en su equipo. Si el resultado del análisis antivirus es "no threats found", quiere decir que puede continuar con la guía de desinfección; de lo contrario, se recomineda eliminar las infecciones encontradas antes de continuar.

scan-with-combo-cleaner-2

Tras eliminar los archivos y carpetas generados por el software publicitario, siga eliminando las extensiones dudosas de sus navegadores web.

Eliminar el la puerta trasera de applejeus de los navegadores web:

safari browser iconEliminar extensiones maliciosas de Safari:

Eliminar las extensiones vinculadas a la puerta trasera de applejeus de Safari:

preferencias de navegación en Safari

Abra el navegador Safari; desde la barra de menú, seleccione "Safari" y haga clic en "Preferencias...".

pantalla de extensiones en safari

En la ventana de preferencias, seleccione "Extensiones" y revise si se han añadido recientemente extensiones sospechosas. Si las encuentra, haga clic en el botón "Desinstalar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Safari, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

  • Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restaure Safari.

firefox browser iconEliminar complementos maliciosos de Mozilla Firefox:

Eliminar los complementos vinculados a la puerta trasera de applejeus de Mozilla Firefox:

cómo acceder a los complementos de mozilla firefox

Abra su navegador Mozilla Firefox. En la parte superior derecha de la pantalla, haga clic en "Abrir Menú" (tres líneas horizontales). Del menú desplegado, elija "Complementos".

Eliminar complementos malintencionados de Mozilla Firefox

Seleccione la pestaña "Extensiones" y mire si se han añadido recientemente complementos sospechosos. Si las encuentra, haga clic en el botón "Eliminar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Mozilla Firefox, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

chrome-browser-iconEliminar extensiones maliciosas de Google Chrome:

Eliminar los complementos vinculados a la puerta trasera de applejeus en Google Chrome:

Eliminando extensiones maliciosas de Google Chrome paso 1

Abra Google Chrome y haga clic en el botón "menú de Chrome" (tres barras horizontales) ubicado en la parte superior derecha de la pantalla del navegador. Del menú desplegable, seleccione "Más herramientas" y haga clic en "Extensiones".

Eliminando extensiones maliciosas de Google Chrome paso 2

En la pantalla "Extensiones", mire si se han añadido recientemente complementos sospechosos. Si los encuentra, haga clic en el botón de la papelera junto a ellos. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Google Chrome, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

Haga clic acá para publicar un comentario.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
la puerta trasera de AppleJeus Código QR
Escanee este código QR para acceder fácilmente a la guía de desinfección de la puerta trasera de AppleJeus desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de la puerta trasera de AppleJeus:

▼ ELIMINAR AHORA con Combo Cleaner (Mac)

Plataforma: macOS

Valoración de Combo Cleaner por parte del editor:
Valoración¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible.