Según el veterano jugador Pat Garratt: “los ‘jugones’ siempre serán una presa fácil para los ciberdelincuentes, pero no es nuestra culpa”.

Categorias: entrevista,General,Juegos,rogue,timos | | Sin comentarios » |

Patrick Garratt es un veterano (15 años ya) de la industria de los videojuegos, y ha estado detrás de la aparición de principales sitios de noticias como Eurogamer y VG247. También es escritor y ha publicado novelas de terror. Afirma que el aumento de los ataques contra los sitios de juegos de azar y los jugadores que se ha producido este año (de los cuales informó “We Live Security” aquí y aquí) es inevitable, porque en el mundo de las descargas, no solo de música, incluso un veterano como él puede ser tentado por una estafa inteligentemente diseñada.

jugones

Me encantan juegos como “Left 4 Dead 2”, pero mis tres hijos y mi trabajo me mantienen alejado de ellos. Estoy demasiado ocupado siendo padre para leer acerca de sus complementos más recientes o los nuevos mapas, pero, a finales del año pasado pensé que podría buscar algo por diversión. En un foro de fans leí “Mapas L4D2 Pack Super + Installer”, así que fui al enlace de Torrent de 8 Gb mientras leía los comentarios que hacían. Era un troyano, y de los malos. Obviamente. Y, a pesar de que he trabajado en la industria de los juegos desde hace 15 años, casi me infecto.

Después de estar usando profesionalmente los juegos desde 1998, entiendo por qué soy una importante víctima potencial del malware. Lo sé, pero esto no me hace más difícil de engañar.

No es ninguna sorpresa que los que buscan víctimas lo hagan entre los jugadores más básicos, los que usan juegos online multi-jugador masivos (MMO) o tiradores competitivos. Este grupo es insaciable, y no sólo consume contenidos de juegos como Oliver Twist devora gachas, pero también descargan tantas novedades en forma de bytes, complementos, trucos, etc. que pueden ser engañados fácilmente. La gente se arriesga a prohibiciones de toda la vida de su juego favorito sólo para ser capaz de pescar un 10% más rápido (historia real, World of Warcraft). Si yo fuera un programador de troyanos en busca de un grupo de pardillos entusiastas y adictos de la informática, los jugadores podrían ser el objetivo número uno, sin duda.

Los juegos de ordenador, si es que nunca se ha metido en este mundo, no son lo mismo que instalar, por ejemplo, Angry Birds en el iPad, y esperar pacientemente a las actualizaciones. Se pueden ajustar. Puedes “toquetearlos”, volver a escribir cosas si te apetece. Los ‘Mods’ caseros han sido parte de los videojuegos desde hace décadas, y se han difundido muchísimo algunos de sus grandes éxitos, como DOTA (un ‘mod’ de Warcraft 3, hecho por un fan, no un estudio de juegos) que se convirtió en un éxito mundial. “Counter-Strike” tenía más o menos los mismos orígenes.

Pero el problema surgió, sin embargo, cuando las empresas decidieron engancharse a todo esto por libre, a la creatividad de código abierto.

El problema no está en los jugadores, ni las compañías viviendo de ellos, sino que es toda la cultura alrededor de los ordenadores. Es un signo de tu madurez con los juegos de ordenador construirte tu plataforma, repararlo tú solo y, francamente, si no tienes un soldador y herramientas de relojero, no eres jugador real. Los juegos de ordenador son lo contrario al “no tocar dentro” de un Mac o un iPad. Los jugones son los manitas del mundo de la informática, ajustando el rendimiento sin fin, supervisando los gráficos y mutilando placas base, por no hablar de la desconexión de su software antivirus para exprimir hasta la última gota del procesador (una encuesta de ESET encontró que un tercio de los jugadores hace precisamente eso siempre).

Instalar add-ons posiblemente maliciosos es totalmente normal. En World of Warcraft, por ejemplo, uno puede ser expulsado de grupos de “amigos de aventuras” sin mediar un aviso por no ejecutar complementos “cuasi legítimos” como Recount.

Para Bizzard, cuando lanzaron World of Warcraft en 2004, ellos mismos animaron el mercado de complementos, a diferencia de sus rivales, y podría decirse que una de las razones para el ascenso meteórico del juego es el hecho de que se puede agregar cualquier cosa, desde un ‘espía’ que le dice si otros jugadores son muy buenos hasta una flecha estilo GPS que te dice a dónde ir. Cualquier idea que le gusta a Bizzard, la pondrán en la próxima actualización. Quieren ganar en todo, excepto cuando se propaga la infección.

Naturalmente, los ciberdelincuentes se han orientado a estos sistemas, creando una página web falsa para Curse, la mayor tienda de add-ons. Se le hizo subir artificialmente en el ranking de Google usando trucos de motores de búsqueda, y cada complemento ofertado fue infectado con malware de robo de datos construido para eludir la aplicación de seguridad de doble factor de Blizzard. Un sobresaliente para el esfuerzo, por lo menos, por parte de los delincuentes, aunque de Blizzard afirma que el sistema funciona “el 99% del tiempo.” Un sobresaliente para el esfuerzo, por lo menos. En otros juegos, el mercado negro complementos se utiliza habitualmente. Si te proporciona una ventaja, miles de personas se apuntarán. Incluyendo personas que realmente deberían estar mejor informados, como yo.

Otras compañías de juegos, sin embargo, son culpables de la exponer a los clientes a ataques por razones menos lógicas. Como “Uplay” de Ubisoft, un sistema de “seguridad”, que ofrecía muy poco, excepto pobres bonificaciones (como fondos de pantalla), a cambio de garantizar a los jugadores que no podrían copiar o vender fácilmente sus juegos. Los jugadores estaban “obligados” a registrarse para utilizar los juegos incluso en las consolas. El sistema Uplay requiere que los usuarios inicien sesión con un correo electrónico o contraseña, y no solo ofrece extras digitales, sino que también funciona como un sistema de gestión de derechos digitales (DRM) para evitar la copia. Cuando los datos se ponen en riesgo sólo para asegurar las ganancias, se gana más, pero se puede conseguir un enfurecimiento de los usuarios. Naturalmente, Ubisoft, como Sony antes que ellos, fue hackeado. Las contraseñas se filtraron. Los jugones se enfadaron mucho.

Un jugador en los foros oficiales de Ubisoft dijo: “Tomad nota, nunca voy a comprar ni jugar otro juego de Ubisoft preparado para Uplay en Xbox que me obligue a crear otra cuenta aquí. Sólo tenían que hacer una cosa: ¡mantener la información de mi cuenta a salvo! “

Una reciente estafa de Grand Theft Auto V destaca cómo de susceptibles son los jugadores de PC al malware si los delincuentes ofrecen el cebo adecuado. A pesar del hecho de que Rockstar, el editor del juego, nunca ha mencionado que vaya a haber una versión para PC, miles de jugadores descargaron un archivo de 18Gb que afirma ser sólo eso. El fichero, obviamente, no era un juego. Era “el Theft”, sí, pero fueron los propios usuarios los robados.

La lógica no siempre se aplica en el mundo de las descargas de juegos de ordenador. Jugadores muy involucrados están dispuestos a asumir riesgos graves, no sólo para jugar a juegos que no existen, sino también para conseguir una ventaja deshonesta en el juego. Existen hacks de trucos sin fin para juegos, como liderar el MMO World of Warcraft (WoW) y los de acción en primera persona como Counter-Strike, pero un gran número de ellos llevan el malware. Según la guía de seguridad de We Live Security, la cifra puede ser tan alta como nueve de cada diez descargas. Tener paredes transparentes hace que se puedan liberar rehenes más fácilmente, pero ¿realmente merece la pena?

La red PlayStation Network de Sony, como es sabido, fue víctima de un gran ataque legendario en el que se accedió a datos de tarjetas de crédito, direcciones de correo electrónico y mucho más. Mientras que hace unos pocos años esto no habría tenido ningún efecto en la seguridad del ordenador personal, los servicios de juego en línea ahora son multi-plataforma, que abarca la consola, PC y móvil: si eres hackeado en la PlayStation, podrías serlo por todas partes.

Los jugadores de PC son algunos de los consumidores digitales más apasionados y crédulos en el mundo. Lo sé porque yo soy uno de ellos. He hackeado mi WoW UI para agregar mapas y seguidores, y he instalado mods para instalar los juegos más antiguos que amo hasta que los gráficos funcionen. Yo estaba relativamente seguro de que el software no verificado era seguro, pero sólo porque un tipo en un foro dice que está limpio no significa necesariamente que sea así. La verdad es que no me importó. Quería hacerlo porque soy un aficionado hardcore y me encanta los juegos de ordenador. Mientras existan personas como nosotros, siempre habrá un troyano destinado a nuestros discos duros.

Patrick Garratt

Publicado originalmente en “We Live Security“, de ESET

 



Aprovechan el lanzamiento de Grand Theft Auto V para propagar malware

Categorias: Android,Juegos,Malware | | 1 Comentario » |

Cuando ya ha pasado una semana del que probablemente sea ya el lanzamiento más exitoso de la historia del videojuego, nadie puede negar que Grand Theft Auto V está en boca de muchos jugadores y medios especializados. Dejando de lado la polémica acerca de si este videojuego muestra una excesiva violencia, polémica que siempre ha perseguido a esta saga y que no ha hecho sino incrementar sus ventas, no es extraño que millones de jugadores busquen información acerca de uno de los juegos más esperados de los últimos tiempos.

Sabedores de este interés, los ciberdelincuentes no han perdido el tiempo y han preparado varias trampas a aquellos jugones más desprevenidos. Hay varios ejemplos que ya han sido detectados y que buscan sus víctimas entre los usuarios de ordenadores y dispositivos móviles con Android.

Uno de los primeros ejemplos detectados fueron varios sitios web que ofrecían versiones gratuitas del juego, supuestamente en forma de betas o versiones de evaluación. Hay que recordar que GTA V tan solo ha sido lanzado, al menos por el momento, en consolas de sobremesa, concretamente en PS3 y XBOX 360, aunque muchos usuarios desconocen este hecho y buscan a toda costa una versión para PC.

gtaV_trial

Estas webs podrían engañar perfectamente a cualquier usuario desprevenido que andase buscando desesperadamente conseguir una copia del juego, a pesar de que no exista para PC. No obstante, el hecho de que muchas de estas versiones gratuitas se anuncien como versión de prueba o beta puede servir para ganarse la confianza de aquellos que saben que GTA V solo aparece en consolas de sobremesa.

Junto con estas web ofreciendo versiones gratuitas del juego, también encontramos otras que nos proporcionan una supuesta clave para desbloquear el juego completo. Parece interesante, ¿verdad? Por desgracia, este tipo de webs tan solo sirven para redirigir al usuario que acceda a ellas a otros enlaces externos en los que tendrá que realizar encuestas para conseguir el ansiado código de activación, que en realidad no existe o no sirve para nada, o, en el peor de los casos, descargará código malicioso en el sistema.

gtaV_serial

Pero los usuarios de ordenadores no son los únicos que se ven afectados por esta nueva campaña preparada por los ciberdelincuentes aprovechando el éxito de este videojuego. Rockstar, la empresa desarrolladora del juego, ha lanzado una aplicación para iPhone e iPads que permite a los usuarios, entre otras cosas, revisar el manual del juego de forma interactiva y disfrutar de minijuegos como “Los Santos Customs” (permitiendo crear y personalizar nuestros propios coches para después usarlos en el juego) o “Chop the dog” (donde cuidaremos del rottweiler de uno de los protagonistas como si de una mascota virtual se tratase).

ifruit

Al haberse lanzado de momento solo para dispositivos iOS, no es de extrañar que ya hayan aparecido varias versiones falsas de esta misma aplicación en mercados (autorizados o no) de aplicaciones para Android. Estas aplicaciones copian el diseño de la original aunque, si nos fijamos, comprobaremos que el desarrollador no es Rockstar, sino otro que no tiene nada que ver con la compañía desarrolladora.

En realidad, este tipo de aplicaciones lo único que buscan es instalar todo tipo de aplicaciones indeseadas en el dispositivo y/o suscribir al usuario a cualquier tipo de servicio de tarificación especial. A pesar de que Google ha eliminado varias de estas aplicaciones en su tienda Google Play, aún se puede encontrar alguna, por lo que es importante desconfiar de ellas (los comentarios dejados por los usuarios pueden servir de ayuda para detectar cuándo se trata de una aplicación fraudulenta).

gtafruit1

Por su parte, Rockstar ha anunciado que avisará debidamente cuando la aplicación para Android se encuentre finalizada, algo que no debería tardar mucho, según los desarrolladores.

Ya hemos visto con anterioridad que los jugones son un grupo de usuarios muy apetecibles para los ciberdelincuentes. De hecho, no hace mucho publicamos unos consejos de seguridad especialmente orientados a ellos debido al incremento de ataques que los tenían como objetivo. Es muy probable que esta tendencia siga igual durante los próximos meses, por lo que no debemos bajar la guardia si queremos disfrutar de todos los lanzamientos aparecidos en los últimos meses y, especialmente, en los que quedan por salir durante  el último trimestre del año.

Josep Albors



Robadas las contraseñas de acceso y sus tarjetas de crédito a más de 120.000 usuarios de League of Legends

Categorias: Cibercrimen,General,Hacking,Juegos | | Sin comentarios » |

Estos días andamos por Gamescom, en Colonia (Alemania): la mayor feria de jugones al menos europea. Como podéis ver, ESET está presente con numerosas iniciativas en un entorno en el que, necesariamente, también se habla de seguridad.

1148960_538534809535350_942239006_n

Y es que los juegos online siguen siendo uno de los caramelitos para los ciberdelincuentes, ya que existen millones de jugadores que se concentran alrededor de competiciones online como League of Legends, que contienen numerosos datos personales de cada jugador almacenados entre los que se encuentran, cómo no, datos relacionados con sus tarjetas de crédito, necesarias para llevar a cabo las compras de accesorios, poderes o privilegios con los que competir mejor.

Precisamente en este entorno nos encontramos cuando hemos conocido la noticia confirmada por Riot Games, la compañía del famoso juego online League of Legends, de que han tenido una brecha de seguridad y que cibercriminales han accedido a una gran cantidad de datos que han sido robados de más de 120.000 usuarios de Norteamérica. Entre los datos sustraídos se encuentran nombres reales, nombres de usuarios, direcciones de email y passwords.

eset-nod32-antivirus-robados-datos-usuarios-league-of-legends

Asimismo, los ciberatacantes han accedido también al historial de transacciones de 2011 incluyendo números de tarjetas de crédito, y aunque afirman no utilizar este sistema de pagos desde entonces, sí pudiera haber números operativos que pudieran ser aprovechados para hacer cargos contra las cuentas de los usuarios o ser vendidos en el mercado negro.

En esta ocasión, solo afecta a los jugadores de Norteamérica, pero Riot Games está rogando a todos sus jugadores que cambien inmediatamente sus datos de acceso, eliminando de esta manera el riesgo de que más usuarios pudieran haber visto violada la integridad de su cuenta.

Evidentemente, el juego de la seguridad en todos los ámbitos, pero especialmente en servicios online, tiene siempre dos vertientes: la del usuario y la de la compañía propietaria y responsable del sistema. Justamente ayer te dábamos unos cuantos consejos para preservar tu seguridad y privacidad si juegas online, pero estos se quedan cortos si el cibercriminal va directamente a la fuente, en este caso, al fabricante. Sea como fuere, cuanto más pongamos cada uno de nuestra parte, mejor nos protegeremos todos.

Por cierto, que League of Legends sigue siendo uno de los juegos online más populares, como prueba la cantidad de gente que se concentraba esta misma mañana en el stand que han colocado en la Gamescom:

eset-nod32-antivirus-españa-gamescom-robo-contraseñas-league-of-legends

Nuestro consejo: si eres jugador de League of Legends, aunque no estés en Norteamérica, cambia tu password. ¡¡Nunca se sabe!!

Josep Albors

Yolanda Ruiz



¿Juegas online? Entonces estos consejos son para ti

El verano es una época muy adecuada para todos aquellos que vamos acumulando juegos a lo largo del año pero no disponemos de tiempo para jugarlos. Es, además, la época en la que las grandes y pequeñas compañías presentan sus novedades, empezando por la Electronic Entertainment Expo (E3) de Los Ángeles en junio, siguiendo por la Gamescom de Colonia (Alemania), que se celebra durante estos días y en la que ESET está presente con stand propio y organizando un torneo de Starcraft 2 con importantes premios, y terminando por el Tokyo Game Show a mediados de septiembre.

eset-nod32-antivirus-españa-consejos-jugones

Además, no solo podemos dedicar más tiempo durante el verano a terminar aquellos juegos pendientes, sino que también podemos jugar partidas online con amigos o conocidos durante sesiones más largas de lo habitual. No obstante, la popularidad del juego online (muchos de los juegos vendidos actualmente cuentan con alguna característica online) ha hecho que este tipo de jugadores se conviertan también en uno de los objetivos preferidos de los ciberdelincuentes.

Los nombres de usuario y contraseñas de los jugones son bienes cotizados entre las mafias que trafican con información privada. Pueden obtenerse infectando al jugador mediante malware como un troyano o keylogger (registro de pulsaciones) pero también atacando directamente a las compañías encargadas de almacenar estos datos, como hemos visto en los recientes ataques a empresas tan importantes en el sector como son Ubisoft, Nintendo o Konami.

A pesar de estos ataques constantes, hay varias formas de protegerse y evitar que nuestras cuentas, logros, personajes, objetos o biblioteca digital de juegos caigan en malas manos. La primera de ellas pasa por contar con una solución de seguridad como las que ofrece ESET, capaz de detectar este y otro tipo de amenazas a la vez de permitir que el sistema funcione normalmente, sin ralentizarlo y permitiendo la mejor experiencia de juego posible.

Para ayudar a todos aquellos jugadores a mejorar su seguridad, queremos ofrecer una serie de consejos que posiblemente le resultarán útiles a más de uno:

  • Usar una utilidad de gestión de contraseñas para evitar tener que recordar la gran cantidad de ellas que se utilizan habitualmente. Si los usuarios normales ya acumulan una cantidad importante de contraseñas para acceder a los servicios más habituales, los jugones aun tienen que recordar una cantidad más elevada. Es por eso que muchos caen en la tentación de utilizar contraseñas sencillas fáciles de recordar y de repetir las mismas en varios servicios diferentes.

eset-nod32-antivirus-españa-consejos-jugones-2

Esta práctica pone en riesgo los datos privados que tengamos almacenados en varios servicios online como puedan ser nuestro correo electrónico o perfil de redes sociales, pero en el caso de los jugones se agrava al poder llegar a perder el acceso a nuestra cuenta (y a todos los juegos que en ella almacenamos) de servicios tan populares como Steam u Origin. Con un buen gestor de contraseñas como LastPass o KeyPass tan solo tendremos que recordar una única contraseña, contraseña que debe ser lo suficientemente robusta para evitar ver comprometidas el resto.

  • Piensa antes cambiar de ventana. Muchos jugadores tienen abierto el navegador para consultar información mientras juegan, especialmente aquellos jugadores de MMORPGs como World of Warcraft. No obstante, debemos tener cuidado al abrir enlaces que nos envían otros usuarios desde el juego (utilizando por ejemplo la función de chat) puesto que estos podrían descargar códigos maliciosos o redirigir al jugador a páginas de phishing. Es importante recordar que  mucha gente que juega online no es quien aparenta ser y algunos están precisamente buscando víctimas entre los jugadores.
  • Mucho cuidado con los hacks para obtener ventajas. En algunos juegos es frecuente ver a jugadores utilizando los conocidos como hacks o cheats para obtener ventajas sobre el resto. Esto no suele estar bien visto por el resto de jugadores puesto que otorgan una ventaja excesiva durante la partida. Cualquier jugador experimentado de Counter Strike conoce bien cheats como el WallHack (permite ver a través de las paredes) o el AimBot (apunta y dispara automáticamente). Además de no estar bien visto, la búsqueda de estos hacks suele terminar descargando múltiples ficheros infectados. Algo poco recomendable, sin duda.
  • Asegúrate de instalar mods con buena reputación. Si hay una característica única de los juegos de PC sobre los de consola es la posibilidad de realizar modificaciones al juego o instalar las que han realizado otros jugadores. Esto alarga mucho la vida del juego o incluso puede hacer que aparezcan nuevos juegos a partir de modificaciones, como sucedió con Counter Strike, que apareció originalmente como un mod de Half Life.

Plataformas como Steam han permitido que algunos de los mods más populares puedan descargarse e instalarse de forma sencilla pero aún siguen habiendo muchos que pueden descargarse desde páginas web. Antes de descargar cualquier mod debemos asegurarnos de que lo hacemos desde la web oficial y el archivo o archivos no estén infectados. No sería la primera vez que alguien se lleva una desagradable sorpresa cuando intenta probar el último mod aparecido para Skyrim.

  • Cuidado con la información publicada en foros. Hay muchos foros dedicados a algunos de los juegos más conocidos e incluso a otros más minoritarios. En ellos los jugadores debaten sobre las noticias de su juego favorito, tácticas, se forman grupos, se proponen cambios a los desarrolladores, etc. No obstante, muchos cibercriminales tienen como objetivos precisamente estos foros para realizar sus actividades maliciosas. Algunos intentan acceder a la base de datos de usuarios para obtener sus contraseñas que, en no pocas ocasiones, coinciden con las utilizadas por los usuarios para registrarse en el juego. También es frecuente encontrar enlaces maliciosos a webs de phishing, productos falsos o incluso conteniendo malware publicados en varios hilos de estos foros. Es por eso importante que este tipo de foros cuenten con sistemas antispam y moderadores que se encarguen de revisar y eliminar mensajes sospechosos, así como que los usuarios utilicen una contraseña dedicada solo para acceder a estos.

eset-nod32-antivirus-españa-consejos-jugones-3

  • No compres monedas u objetos virtuales en sitios no autorizados. La compra de moneda y objetos virtuales que pueden ser usados en varios  juegos online a cambio de dinero real es algo bastante común. No obstante, esto no significa que no sea algo arriesgado, y es que el dinero u objetos adquiridos de esta forma bien pueden provenir de cuentas que han visto comprometida su seguridad.

Para prevenir y no caer en manos de estafadores y evitar proporcionar demasiados datos privados a desconocidos (como puedan ser datos bancarios, cuentas de correo electrónico o direcciones de residencia), lo mejor es utilizar solamente aquellos servicios de compra/venta/subasta autorizados por los creadores del juego. De esta forma, si algo sale mal siempre podremos tener la posibilidad de reclamar y de que se abra una investigación.

  • Mantén activada la protección del sistema mientras jugamos. Aún hay muchos jugadores que desactivan parcial o totalmente algo tan esencial para estar protegido como el antivirus o el cortafuegos. Soluciones de seguridad como las de ESET cuentan con un “modo jugador” que deshabilita componentes que no sean críticos para poder dedicar más recursos del sistema mientras jugamos sin comprometer nuestra seguridad.

eset-nod32-antivirus-españa-consejos-jugones-4

  • Utiliza la doble autenticación cuando esté disponible. La doble autenticación es una capa adicional de seguridad muy útil que nos ayuda a prevenir el robo de las cuentas usadas para acceder a varios juegos. Algunos de los juegos más conocidos ofrecen esta medida de seguridad a sus usuarios de forma completamente gratuita. Usando la doble autenticación podemos estar seguros de que, aun cuando datos tan críticos como nuestro usuario y contraseña hayan sido comprometidos, evitaremos que los delincuentes puedan acceder a nuestra cuenta, evitando desagradables sorpresas.

Siguiendo estos consejos conseguiremos que nuestra experiencia como jugador sea más segura y podremos disfrutar al máximo de nuestros juegos favoritos. No dejes que nadie te amargue la experiencia de jugar con tus amigos  y disfruta del ocio digital sin distracciones.

Josep Albors



Acceden a un servidor de Ubisoft y roban datos de usuarios

Categorias: datos,Filtraciones,Juegos | | Sin comentarios » |

Ubisoft, una de las desarrolladoras de videojuegos más importante actualmente y poseedora de los derechos de algunas de las sagas más conocidas como Assassin’s Creed, Far Cry, Ghost Recon o Rayman, comunicó ayer haber sufrido una intrusión en uno de sus servidores, algo que habría ocasionado el acceso a datos privados de sus usuarios.

Al poco tiempo de producirse este anuncio, Ubisoft comenzó a enviar correos a todos los usuarios que podrían haberse visto afectados, entre los que nos encontramos algunos de los integrantes del laboratorio de ESET España.

 correo

Aunque la empresa no ha dicho en ningún comunicado cuál ha sido el servidor que ha sido comprometido, todo apunta a que se trata de alguno de los que almacenan los datos de los usuarios registrados en el servicio de distribución digital UPlay, cuya página web en el momento de escribir estas líneas solo muestra un anuncio por el que recomiendan a sus usuarios que cambien su contraseña.

webuplay

Según Ubisoft, los atacantes habrían podido acceder a datos de los usuarios tales como los nombres de usuario, emails y sus contraseñas cifradas. Esperemos que estos datos sean ciertos y no haya que lamentar el robo de información más sensible como el de los datos de tarjetas de crédito. También deberemos tener cuidado en los próximos días por si se realizan campañas de phishing que nos inviten a restaurar nuestras contraseñas suplantando la identidad de Ubisoft.

Sobre cómo se pudo producir el ataque, aún no está claro, aunque, tal y como apuntan nuestros compañeros de Hispasec, no sería nada descabellado pensar que la web atacada tuviese una vulnerabilidad SQL injection y esta hubiese sido aprovechada por los atacantes para acceder a la información almacenada en el servidor.

Tampoco es el único ataque que ha sufrido Ubisoft en los últimos meses. Solo hay que recordar el error que permitía descargar el videojuego “Far Cry 3: Blood Dragon” de forma completamente gratuita días antes de su lanzamiento oficial.

Como ya hemos comprobado en anteriores ocasiones, todos somos posibles objetivos de los ciberdelincuentes, dando igual que seamos usuarios de servicios de banca online o de distribución online de videojuegos. Es por ello que nunca debemos descuidar nuestra seguridad y hemos de gestionar nuestras contraseñas de forma eficaz para evitar que incidentes como el que acabamos de comentar nos afecten más de la cuenta.

Josep Albors



Malware, vulnerabilidades y videojuegos: un repaso de cara a la nueva generación

Categorias: Juegos,Privacidad,seguridad | | Sin comentarios » |

Con la presentación de la nueva XBOX One el pasado martes se completa el elenco de consolas que se van a disputar la llamada nueva generación, obviando el siempre presente PC, que sigue su evolución a su ritmo. Es esta una generación en la que dos de las tres mayores compañías del mundillo (Sony y Microsoft) apuestan por una arquitectura muy similar a la de cualquier PC de gama alta actual y que, en el hardware, tan solo se diferencian en detalles menores, como la velocidad de la RAM o del procesador.

Otra cosa es el sistema operativo que montarán cada una de ellas, siendo Microsoft la que ha apostado por hasta tres S.O. para gestionar las funciones de juego, las funciones multimedia de visualización de contenidos y uno que hace de capa intermedia entre los dos anteriores. Lo que sí parece claro es que Windows 8 podría hacer acto de presencia en una versión preparada específicamente para la consola de Microsoft, algo que, teóricamente, también podría ocasionar que se aprovechasen vulnerabilidades presentes en el sistema de escritorio.

xboxone-623x432

Lo que sí comparten tanto Sony, Microsoft y los usuarios de PC es la necesidad prácticamente obligatoria de estar siempre conectado para aprovechar todo el potencial de estas máquinas de entretenimiento. Ya sea por la verificación de los contenidos instalados (para evitar la piratería), para interactuar con las redes sociales, contar con el almacenamiento en la nube o para fomentar el juego online (y los pagos que de ahí se derivan), la industria del videojuego apuesta por una conexión permanente. Tan solo Nintendo se mantiene un poco al margen de esta política, aunque ellos siempre han marcado su propio camino.

Esta conexión permanente no debería suponer mayores problemas si no fuera por la experiencia con la  que ya contamos desde hace muchos años en el mundo del PC. Estar siempre conectados nos facilita mucho las tareas, ya sean lúdicas o profesionales, pero también hace que seamos vulnerables ante las amenazas informáticas que se propagan de forma muy rápida.

Si bien en consolas no ha habido prácticamente incidencias por parte de malware, el hecho de que usen una arquitectura tan similar a la de los PCs actuales y que incluso XBOX One puede contar con una versión adaptada de Windows 8, podría hacer que viéramos cómo las amenazas se extendiesen hasta este territorio virgen hasta ahora. En un hipotético caso de que una amenaza se propagase por consolas, la sensación de inmunidad con la que cuentan muchos usuarios (similar a la de los usuarios de Mac hasta hace no mucho) podría jugar en su contra.

De hecho, ya son varias las ocasiones en las que se nos ha alertado de vulnerabilidades presentes ya no en el sistema operativo encargado de manejar los juegos, sino en los propios motores usados por alguno de los videojuegos más populares del momento o en las plataformas de distribución digital más utilizadas. El problema es que cada vez se conocen más de estas vulnerabilidades que afectan a millones de usuarios en todo el mundo.

Revuln, una de las empresas especializada en descubrir vulnerabilidades y que más hincapié ha hecho en el mundo de los videojuegos, ha publicado recientemente un informe donde presenta fallos de seguridad en algunos de los videojuegos o motores más conocidos, como son Quake, Unreal Engine o CryEngine, entre otros. Estas vulnerabilidades permitirían que un atacante utilizase los servidores de estos juegos para explotar de forma masiva estas vulnerabilidades, llegando incluso a poder tirar abajo todas los servidores de un juego en concreto.

unreal_logo

Pero claro, para que alguien realice un ataque de estas características debe haber algún interés detrás. Hasta ahora aquellos ciberdelincuentes que quisieran sacar provecho de infectar a los usuarios más jugones lo obtenían a través de las tarjetas de crédito que conseguían al engañar a los usuarios, para que introdujeran sus datos de acceso en páginas web falsas. También existe un mercado negro de bienes virtuales que reporta interesantes beneficios a los ciberdelincuentes y que además no están tan perseguidos como el robo de dinero de cuentas bancarias.

Por si fuera poco, las transacciones dentro de los juegos en forma de micropagos son algo que se está poniendo de moda, especialmente en los conocidos como Free-to-play, por lo que, cada vez con más frecuencia, los usuarios tienen que echar mano de su tarjeta de crédito para conseguir mejoras y ventaja para sus personajes. Todo un nuevo campo de posibilidades para los ciberdelincuentes si no nos andamos con cuidado.

Hay otro tema que también se va a enfatizar en esta nueva generación, y es la inclusión de las redes sociales y la difusión del contenido generado por el propio jugador. Todas las plataformas abogan por que compartamos con nuestros amigos el juego al que estamos jugando, los logros o trofeos que consigamos e incluso que grabemos nuestras mejores jugadas y las compartamos con el resto de jugadores. Esto puede ayudar a conseguir un juego más social, alejado del estereotipo de jugador solitario sin amigos que a algunos aún les viene a la cabeza cuando hablamos de jugadores de videojuegos.

No obstante, debemos andar con ojo a la hora de compartir nuestras experiencias como jugadores online. Por ejemplo, tal y como apuntan nuestros compañeros del blog WeLiveSecurity de ESET, la nueva versión del periférico Kinect, de cuyo uso no podremos escapar en la nueva XBOX One, permanecerá en funcionamiento aunque la consola se encuentre apagada para así poder reconocer la orden de puesta en marcha que le podremos dar de forma verbal.

eset_nod32_kinect_hal

Esta atractiva característica podría convertirse en un sofisticado sistema de espionaje doméstico que nos hace recordar al famoso ordenador HAL 9000 de la película 2001: Una odisea del espacio, con la capacidad de poder controlar nuestros movimientos en todo momento. Preferimos no pensar en las consecuencias negativas para nuestra privacidad que un control no autorizado de este dispositivo por parte de un atacante podría ocasionar.

La mayoría de los puntos que hemos tratado en este artículo no dejan de ser meras especulaciones basadas en casos hipotéticos. Por desgracia, la experiencia nos dice que estas especulaciones no son nada disparatadas y que es perfectamente posible que sean superadas por la realidad. Por si acaso, vamos a ir preparando una manta decorativa que quede bien encima del Kinect para cuando no queramos ser observados por miradas indiscretas.

Josep Albors



Utilizan un servicio de juego online para infectar a jugadores y conseguir bitcoins

Categorias: Juegos,Malware,Troyanos | | Sin comentarios » |

La popularidad que está teniendo la moneda virtual Bitcoin en las últimas semanas ha hecho que deje de ser considerada como algo anecdótico y experimental a ser considerada por muchos como una alternativa de inversión en los tiempos difíciles que corren. No hay más que ver las constantes fluctuaciones de su cotización para entender porque hay tanta gente interesada en invertir en esta moneda.

bitcoin

Sabemos de sobra por experiencias anteriores que, allí donde haya posibilidad de hacer negocio acudirán los ciberdelincuentes. En este blog, sin ir más lejos, venimos informando desde hace años de diferentes tipos de malware cuya finalidad es obtener el mayor número posible de estas monedas, bien sea robándola a los usuarios o aprovechando los recursos de sus ordenadores para generarlas.

Debido a la elevada potencia de cálculo necesaria para generar bitcoins, uno de los objetivos favoritos de los ciberdelincuentes son los jugones. Esto tiene una explicación muy sencilla y es que las tarjetas gráficas de gama alta son ideales para realizar los millones de cálculos computacionales que se necesitan para obtener una de estas monedas.

En esta ocasión nos hacemos eco de la utilización maliciosa del software de ESEA, una importante comunidad de juegos online entre los que encontramos algunos tan conocidos como Counter Strike, League of Legends o Team Fortress 2. Uno de los empleados consiguió modificar el software cliente anti-trampas de esta empresa para incluir una opción que se encargaba de utilizar los recursos del ordenador para minar bitcoins, algo que la propia empresa había estado probando de forma interna pero que terminó descartando.

logo

Si bien la cantidad obtenida no ha sido especialmente elevada (alrededor de  3700 dólares desde el pasado 14 de abril), este incidente es bastante significativo por aprovechar el software de una empresa con buena reputación y dirigirse específicamente a un objetivo como son los jugadores online.

Fueron precisamente algunos de estos jugadores con este software instalado los que dieron la voz de alarma al notar que el uso de su tarjeta gráfica sobrepasaba el 90% aun cuando el ordenador se encontraba en reposo. Además este uso continuo de la GPU hace que esta se caliente en exceso y, en algunos casos, llegue incluso a averiarse por sobrecalentamiento.

En la web de esta comunidad de jugadores se ha colgado un aviso relatando los hechos y anunciando que, en compensación por las molestias ocasionadas, ofrecerá un mes de subscripción Premium a su servicio. Además, la cantidad de dinero obtenida de esta forma será donada a una asociación de lucha contra el cáncer.

Hace tiempo que los ciberdelincuentes aprovechan al máximo los recursos de los ordenadores que infecta. No hace falta que seamos una empresa o alguien importante para robarnos información confidencial. Cualquier dispositivo infectado y conectado a Internet, por modesto que sea, puede aportar beneficios a un ciberdelincuente de varias formas diferentes y eso es algo que debemos tener muy en cuenta.

Josep Albors



La plataforma de juegos Origin podría ser usada como vector de ataque

Categorias: Juegos,Malware,Vulnerabilidades | | Sin comentarios » |

Aquellos lectores que nos siguen desde hace tiempo sabrán de nuestra pasión por los videojuegos y por las noticias de seguridad relacionadas con ellos. En este blog hemos tratado todo tipo de ataques y vulnerabilidades relacionados con algunos de los juegos más populares como World of Warcraft o Call of Duty, juegos que cuentan con millones de usuarios, lo que seguramente habrá atraído la atención de los ciberdelincuentes.

Además de descubrirse vulnerabilidades en los propios juegos, las plataformas de distribución digital de videojuegos como Steam también se han visto afectadas. No hace mucho comentábamos cómo se podría aprovechar una vulnerabilidad en Steam donde un atacante podría aprovecharse de la forma en la que el cliente de esta plataforma manejaba las peticiones a los buscadores.

Los mismos investigadores de la empresa Revuln que descubrieron esta vulnerabilidad vuelven a la carga con una investigación similar, pero en otra de las plataformas de distribución digital de videojuegos, Origin. La vulnerabilidad es muy similar a la que ya descubrieron en Steam y también tiene como protagonistas a los enlaces utilizados para lanzar los juegos y que, en este caso, tienen la siguiente nomenclatura: “origin://”.

eset_nod32_origin1

De esta forma, un atacante tan solo tendría que preparar un enlace de este tipo e incluirlo en una web maliciosa, distribuirlo por correo o incluso por redes sociales. A partir de ahí, un usuario desprevenido podría pulsar sobre ese enlace creyendo que se trata de algo relacionado con su plataforma de distribución digital de videojuegos, pero que en realidad está ejecutando malware.

Se puede incluso utilizar una función denominada OpenAutomate y crear un enlace malicioso que, además de arrancar el juego, ejecutaría el malware desde la dirección IP definida por el atacante. Podemos observar un ejemplo de este tipo de enlace malicioso en la siguiente imagen, así como un vídeo preparado por los investigadores:

eset_nod32_origin2

La solución temporal, al menos hasta que se solucione por parte de Origin, pasa por utilizar el protocolo “origin://” solo desde la propia plataforma de distribución digital, evitando o desactivando su ejecución en el sistema y (sobre todo) en el navegador.

De nuevo vemos otro ejemplo de cómo los más jugones también deben preocuparse por su protección. Aun hoy, muchos usuarios desactivan su protección antivirus mientras juegan, quedando expuestos durante tiempo más que suficiente para resultar infectados. Se puede jugar y contar con una solución antivirus sin que esta afecte al rendimiento del sistema, evitándonos así más de un desagradable disgusto.

Josep Albors



Aprovechan el lanzamiento de Crysis 3 para propagar malware en forma de crack

Categorias: backdoor,Juegos | | 1 Comentario » |

Nuestro compañero André Goujon de ESET Latinoamérica ha descubierto varios archivos maliciosos que se hacen pasar por cracks para el videojuego Crysis 3 de la empresa Crytek (que grandes) que ha sido lanzado al mercado hoy mismo. A continuación publicamos una adptación de su post.

El videojuego de disparos en primera persona (FPS por sus siglas en inglés) Crysis 3 es uno de los títulos más esperados de 2013 por los más jugones, motivo por el cual los cibercriminales ya han empezado a desarrollar códigos maliciosos diseñados para aprovechar la ansiedad de los fanáticos por acceder a la nueva versión que no quieren pasar por caja. Las muestras analizadas en este post son detectadas por ESET como Win32/Ainslot y Win32/TrojanDownloader.Wauchos.

eset_nod32_crysis3a

Como hemos mencionado en ocasiones anteriores, una de las estrategias de propagación de amenazas más habitual es la aplicación de  técnicas de Ingeniería Social adaptadas especialmente para explotar diversas temáticas de actualidad y apelar a intereses específicos de ciertos usuarios- en este caso, jugadores. De acuerdo a investigaciones del Laboratorio de ESET Latinoamérica, se ha descubierto la publicación de falsos cracks (parches que permiten modificar el software original para, por ejemplo, ser utilizado sin haber comprado una licencia) del programa cuyo objetivo es infectar al equipo y abrir una puerta trasera a la espera de que el atacante envíe comandos remotos. El sistema infectado puede ser utilizado por los cibercriminales para descargar nuevas variantes de la amenaza, lanzar ataques DoS contra de otros equipos o servicios online, registrar lo que teclea el usuario (keylogger), o realizar capturas de la cámara web, entre otras operaciones.

Los falsos cracks han sido desarrollados como archivos de gran tamaño que van desde los 7 MB hasta los 33 MB. Es probable que esto se deba a que, frente a un supuesto archivo de bajo peso, algunas personas podrían sospechar que se trata de algo malicioso o falso. Con el fin de añadir credibilidad al engaño, el icono de la amenaza es otro aspecto que los atacantes suelen considerar a la hora de propagar programas falsos. En este caso, los iconos son idénticos a los del ejecutable del juego original. En otras ocasiones, incluso recurren a la creación de uno nuevo en base al diseño del videojuego. Por otro lado, muchas de estas amenazas muestran en el momento de ejecutarse, errores falsos que informan al usuario que el juego no ha podido ser “crackeado” o incluso, copian el crack “funcional” mientras realizan acciones maliciosas- como el caso del malware que afectó a usuarios del juego Prototype 2.

El falso crack de Crysis 3 viene en el interior de un ZIP o RAR cuyo nombre suele ser “Crysis 3 crack” o similar. Dentro del archivo comprimido es posible encontrar tanto el ejecutable malicioso como un fichero de texto que muestra las supuestas instrucciones y la descripción del juego. A continuación, se muestra una captura del icono utilizado en las variantes de malware analizadas en este post. Destaca el uso de un icono de alta resolución para engañar a la potencial víctima:

eset_nod32_crysis3b

Si la víctima ejecuta el archivo (Win32/Ainslot), este procede a copiarse en la carpeta temporal de ese usuario de Windows como biocredprov.exe. Posteriormente, muestra dos mensajes falsos de error. El primero indica que el archivo “Activation.dll” no ha podido ser cargado y el segundo menciona que el sistema no cuenta con la memoria suficiente. A continuación se muestra una captura de ambos mensajes:

eset_nod32_error

Seguidamente, el código malicioso abre una puerta trasera (backdoor) en el sistema infectado y espera a que un atacante envíe comandos remotos. La lista completa de acciones maliciosas puede ser consultada en la descripción de Win32/Ainslot disponible en Virus Radar. En los casos analizados, tanto el tamaño como el icono son adecuados al contexto. Pese a todos los detalles, de todas las variantes analizadas, solo una incluye información relacionada al juego dentro de las propiedades del ejecutable. La siguiente captura muestra las propiedades de dos variantes, una con información incoherente y otra con los datos “correctos”:

eset_nod32_crysis_firma

En la captura 1 es posible ver cómo la información (descripción, nombre de producto y copyright) que se proporciona no corresponde con Crysis 3, no obstante, en la otra muestra analizada, los cibercriminales mejoraron este detalle, tal y como se observa en la imagen 2. Al respecto, es importante aclarar que esos campos no son una forma fiable de comprobar si un ejecutable es legítimo o no. En el caso de la imagen 2 la información es correcta, sin embargo, son datos que los mismos cibercriminales insertan y no tiene relación con el desarrollador del juego.

Como se puede observar, los cibercriminales se aprovechan de esta situación para conseguir nuevas víctimas y de ese modo, obtener ganancias ilícitas. Implementar una solución de seguridad como ESET Smart Security permite proteger un ordenador de esta y otras amenazas. Por otro lado, le recomendamos a los jugadores configurar el “modo de juego” disponible en los productos ESET. De este modo, se disminuye el consumo de recursos y se evita que se muestre algún mensaje que pueda interrumpir la experiencia del juego.

Escrito por André Goujon
Adaptado por Josep Albors



PokerAgent y el robo de 16.000 contraseñas de Facebook

El siguiente post es una traducción y adaptación de “PokerAgent botnet stealing over 16,000 Facebook credentials” publicado en el blog de ESET Norteamérica por nuestro compañero Robert Lipovsky.

La red de “bots” llamada “PokerAgent”, a la que le seguimos la pista desde 2012, fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de “Zynga Poker”, supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas.

Introducción

Hace aproximadamente un año, el laboratorio de investigación de ESET descubrió un troyano que le llamó la atención. Todo parecía indicar que había algo interesante: referencias a Facebook y a la aplicación Zynga Poker (que aparecían en cadenas de texto dentro del código), el código ejecutable “PokerAgent” y características de botnet, ya que el troyano contactaba con una red de control remoto.

ESET ha estado detectando diferentes variantes del troyano, denominado genéricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso.

Hemos llevado a cabo un análisis profundo del código del troyano (tarea fácil, ya que estaba programado con C#, muy fácil de descompilar) e iniciamos la monitorización de la botnet. Los resultados se presentan a continuación y se encuentran ampliados en el whitepaper que analiza esta amenaza.

ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook from Yolanda Ruiz Hervás

Funciones del malware

El autor del malware tiene una gran base de datos con credenciales de Facebook robadas (nombres de usuario y contraseñas). Al principio, no sabíamos cómo las había conseguido, pero al continuar la investigación se aclaró. Cuando el bot se conecta al centro de mando y control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información:

  1. Estadísticas de Zynga Poker de la cuenta de Facebook en cuestión
  2. Número de métodos de pago (p.ej. tarjetas de crédito) almacenadas en la cuenta de Facebook.

Las estadísticas del usuario en Zinga Poker se consiguen pasando la respuesta de la URL http://facebook2.poker.zynga.com/poker/inc/ajax/profile_popup.php?zid=1:%_FACEBOOK_ID%&signed_request=%_SIGNATURE% &platform=1.

Los datos devueltos se asemejan mucho a los mostrados más abajo, y tienen  información sobre el usuario, como su nombre, género, imagen del perfil de la cuenta, clasificación y puntos en Zynga Poker, número de amigos y estadísticas sobre cada mano jugada.

1_eset_nod32_zynga-stats

Al troyano solamente le interesa el género del usuario, sus puntos y su clasificación. Esta información se envía de vuelta al centro de mando y control.

Hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicación Zynga Poker. En diferentes versiones del bot hemos detectado que se usaban diferentes parámetros.

Se puede encontrar más información sobre el popular juego Zynga Poker  aquí.

Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante. Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments&section=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena “You have <strong>X</strong> payment methods saved.” que se devuelve en HTML.

2_eset_nod32_fb_payment_settings

Siempre recomendamos que se sea muy cauteloso a la hora de almacenar datos de tarjetas de crédito en una aplicación, no solo en Facebook. De nuevo, toda la información se manda al centro de mando y control para actualizar la base de datos de víctimas.

El sistema infectado puede llevar a cabo diversas tareas en nombre de una víctima de Facebook:

  1. Publicar enlaces en el muro del usuario de Facebook.

El propósito de esta función es llevar a otros usuarios de Facebook (por ejemplo, amigos de los usuarios a los que se les ha robado las credenciales de acceso) a una página falsa de acceso a Facebook, para robarles también a ellos su nombre de usuario y contraseña.

La tarea mandada al bot, aparte de un nombre de usuario y contraseña de Facebook, también contiene una URL (mandada de manera cifrada) y posiblemente algún texto de acompañamiento para publicarla (aunque no hemos visto que esta característica la use la botnet). El troyano, una vez iniciada sesión en Facebook, publica el link descifrado en el muro del usuario.

Aquí pueden verse unos cuantos ejemplos.

3_eset_nod32_fb_share

El enlace apuntará a una página web similar a la que aparece en la imagen más abajo. Durante la monitorización del botnet, hemos visto que redirecciona a diferentes páginas web. Tanto desde nuestra telemetría como desde el texto de las páginas web, podemos ver que los ataques están dirigidos mayormente a usuarios de Israel. Las páginas ofrecen noticias de prensa amarillista, que el usuario puede sentir curiosidad por ver.

4_eset_nod32_middle_site

Independientemente del tema de la página a la que redirigen, todas tienen un factor común: cada imagen tiene un enlace HTML a una página falsa de Facebook en la que iniciar sesión, como se puede ver más abajo. De nuevo, se han ido usando diferentes URL a lo largo del tiempo.

5_eset_nod32_fake_facebook

Como cabría esperar, cuando una víctima rellena sus datos en esta página falsa de Facebook, sus datos son mandados al atacante.

El análisis del código también revela una interesante característica de la lógica de programación del troyano. El código contiene una función llamada “ShouldPublish”, que determina si los enlaces a las páginas de phishing deben ser publicados en el muro del usuario. Esto dependerá de si la víctima tiene alguna tarjeta de crédito vinculada a su cuenta y su clasificación en Zynga Poker. Aparentemente, si se cumple una de las condiciones, el atacante lo considera un éxito, y, si no (no hay tarjetas y tiene una clasificación baja), el troyano buscará otras víctimas.

6_eset_nod32_should_publish

¿Cómo funciona el ataque?

Hay que aclarar que, a diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, este no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado (de hecho, podría no tener una cuenta en Facebook). La botnet sirve más bien como un proxy, por lo que las actividades ilegales (las tareas ordenadas a los bots) no se ejecutan fuera del ordenador infectado.

Una vez dicho esto, todo lo anterior nos lleva a la conclusión de que el propósito de la botnet es:

  1. Aumentar el tamaño de la base de datos de usuarios y contraseñas robados de Facebook.
  2. Actualizar la base de datos: comparar los datos de los usuarios de Facebook con las estadísticas de Zynga Poker y las tarjetas de crédito almacenadas.

Solo nos cabe especular acerca de cómo el atacante emplea los datos robados. El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de poker y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook. Posteriormente, el cibercriminal puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes.

Vector de propagación

Antes hemos visto la página falsa de Facebook que el atacante emplea para hacer que las víctimas le den sus datos de Facebook. Por lo que se refiere a la distribución del troyano “PokerAgent”, no hemos tenido la suerte necesaria para pillarle “con las manos en la masa”. Cuando monitorizamos la botnet en marzo de 2012, esta no seguía propagándose activamente. Lo que sí sabemos, sin embargo, es que el troyano se descarga en el sistema por algún otro componente (de los que hemos visto varias versiones). Este componente de descarga fue visto en la web, (en varias URL que cambiaban dinámicamente) y las víctimas han sido engañadas para descargarlo.

Por las técnicas que utiliza el troyano, es lógico suponer que el downloader también se distribuyó por Facebook, haciendo también uso de técnicas de ingeniería social.

Escala de los ataques y acciones llevadas a cabo

Hemos estado detectado el troyano MSIL/Agent.NKY desde el 3 de diciembre de 2011. Poco después nos dimos cuenta de que era algo que requería más atención y llevamos a cabo un análisis a fondo del código. Así, iniciamos el seguimiento de la amenaza y tras analizar el protocolo de su centro de mando y control, empezamos la monitorización de la botnet.

Gracias a nuestra detección genérica, pudimos conseguir tanto versiones iniciales como más modernas del troyano. En total encontramos 36 versiones distintas de “PokerAgent” con fechas de compilación comprendidas entre septiembre de 2011 y marzo de 2012. Los “hashes” MD5 se pueden encontrar al final del documento. Por tanto, comprobamos cómo el creador del malware estaba desarrollando activamente su proyecto.

El seguimiento de la botnet reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012. Estos números no se corresponden exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más que no hemos visto. Sin embargo, por lo que comprobamos, no todas las entradas eran válidas, y muchos usuarios que intentaron ser engañados introdujeron nombres de usuario y contraseñas visiblemente falsos.

Tal y como muestra la evolución de detecciones en nuestro ESET LiveGrid®, el autor del malware dejó la propagación activa del troyano a mediados de febrero de 2012.

7_eset_nod32_pokeragent_stats

Los ataques se concentran en un solo país. Nuestra telemetría indica que precisamente el 99% de todas las detecciones de MSIL/Agent.NKY de los productos de seguridad de ESET provienen de Israel.

En cuanto conseguimos información fidedigna de estas actividades delictivas, cooperamos tanto con el CERT de Israel como con la Policía. Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad.

También hemos avisado a Facebook, y ha llevado a cabo tareas de prevención para frustrar futuros ataques en las cuentas robadas.

Conclusión

El caso “PokerAgent” representa un ataque con éxito a los usuarios de la red social más grande del mundo y a los jugadores del mayor sitio de Poker del mundo. Hay, sin embargo, varias prácticas de seguridad, además de la obvia recomendación de utilizar un antivirus actualizado, que habrían evitado que los atacantes tuvieran tanta suerte.

  • No solo son necesarias medidas técnicas, sino que también la vigilancia del usuario es una protección contra todos los ataques que emplean ingeniería social. Aunque a simple vista la página falsa de Facebook es una copia perfecta de la auténtica, el usuario puede reconocerla como una copia si comprueba la barra de direcciones, aunque la mayoría de las víctimas fueron engañadas por la página.
  • Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios. En concreto, el doble factor de autentificación podría haber evitado que los bots entraran en las cuentas de Facebook de las víctimas.
  • Queremos insistir en que hay que ser cauteloso antes de permitir a los navegadores “recordar” contraseñas de servicios importantes, y mucho más si se están almacenando los datos de la tarjeta de crédito en cualquier aplicación, no solo en Facebook.

Con las redes sociales más populares siendo atacadas por malware, spam, phishing y otros propósitos nefastos, es muy recomendable asegurarse de que estamos protegidos de estos vectores de ataque también. Para mantener la cuenta de Facebook limpia, ESET ha presentado la aplicación ESET Social Media scanner.

8_eset_nod32_PokerAgent_infographic

Traducido y adaptdo por Yolanda Ruiz, Fernando de la Cuadra y Josep Albors

 



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje