En marzo de este año, nuestros expertos descubrieron en un foro clandestino el anuncio de un malware cuyos creadores apodaban BloodyStealer.
El anuncio afirmaba que roba estos datos de los dispositivos infectados:
- Contraseñas, cookies, información de tarjetas bancarias, datos de autorelleno del navegador.
- Datos de dispositivos.
- Capturas de pantalla.
- Archivos de clientes uTorrent y de escritorio.
- Sesiones de clientes de Bethesda, Epic Games, GOG, Origin, Steam, Telegram y VimeWorld.
- Registros.
Lo que nos llamó la atención es que la mayoría de los programas que se listan están relacionados con los videojuegos, lo que parece indicar que las cuentas de gamers y su contenido tienen una gran demanda en el mercado clandestino. Decidimos examinar con detalle los riesgos a los que se enfrentan los gamers.
BloodyStealer conquista el mundo
Aunque BloodyStealer es relativamente joven, ya está trotando por todo el mundo. De acuerdo con nuestros datos, el malware ya ha atacado a usuarios en Europa, América Latina y la región de Asia-Pacífico, lo que no sorprende dado su modelo de distribución malware como servicio (MaaS), lo que significa que cualquiera puede comprarlo a un bajo coste (aproximadamente 10 dólares al mes o más o menos 40 dólares por una licencia vitalicia).
Además de sus funciones de robo, el malware cuenta con un conjunto de herramientas cuyo objetivo es frustrar el análisis (más información al respecto aquí). Envía la información robada como un archivo ZIP al servidor de C&C, el cual está protegido contra ataques DDoS y otros ataques web. Los ciberdelincuentes utilizan ya sea el panel de control (muy básico) o Telegram para obtener los datos, incluidas las cuentas de los gamers.
Pero BloodyStealer no está solo
BloodyStealer es solo una de las muchas herramientas disponibles en la dark web para robar cuentas de gamers. Los ciberdelincuentes venden otros tipos de malware, muchos de los cuales han estado en el mercado durante más tiempo que BloodyStealer. Además, los foros clandestinos con frecuencia contienen anuncios que ofrecen publicar un enlace malicioso en un sitio web popular o vender herramientas para generar páginas de phishing de forma automática.
Con ayuda de estas herramientas, los ciberdelincuentes pueden recopilar y después tratar de monetizar una gran cantidad de credenciales. Se puede encontrar todo tipo de ofertas relacionadas con cuentas de gamers en la dark web.
Los registros con datos de inicio de sesión
Entre los productos más populares están los llamados registros que son bases de datos que contienen montones de datos para iniciar sesión en cuentas. En sus anuncios, los atacantes pueden especificar el tipo de dato, la geografía de los usuarios, el periodo en el que los registros fueron recopilados y otros detalles. Por ejemplo, en la captura de pantalla a continuación, un miembro de un foro clandestino ofrece un archivo con 65600 registros, de los cuales 9000 están vinculados a usuarios de los Estados Unidos y 5000 a residentes de India, Turquía y Canadá. Todo el archivo cuesta 150 dólares (aproximadamente 0,2 centavos por entrada).
Dicho esto, estas bases de datos pueden contener información obsoleta, o incluso inservible, por lo que algunos vendedores permiten que los compradores revisen los registros para confirmar que están actualizados.
Las cuentas de gamers, juegos e inventarios
Los ciberdelincuentes también venden acceso a cuentas de gaming específicas, tanto de manera individual como en masa. Por lo que no sorprende que cuentas con muchos juegos, complementos y artículos de alto coste tengan un valor especial. Lo normal es que los ciberdelincuentes las vendan con enormes descuentos.
El contenido de la cuenta también se comercia por una fracción de su valor real. En la dark web, por ejemplo, puedes encontrar Need for Speed y otros títulos que se venden por menos de 50 centavos.
Los artículos que se venden dentro del juego también están en circulación.
Cómo evitar caer en la trampa de BloodyStealer y otros ladrones
El propietario de una cuenta robada no solo se enfrenta al robo de sus juegos y artículos dentro del juego. Los ciberdelincuentes o compradores (información irrelevante para la víctima) pueden utilizar la cuenta para blanquear dinero o distribuir enlaces de phishing, entre otras actividades ilegales. Para evitar ser una víctima más de los ciberdelincuentes, asegúrate de que tus cuentas y dispositivos estén asegurados.
- Protege tus cuentas con contraseñas seguras, habilita la autentificación en dos pasos y, en general, aprovecha todos los ajustes de seguridad de la plataforma (consulta nuestras guías de usuario para Steam, net, Origin, Twitch y Discord).
- Descarga aplicaciones solo de fuentes oficiales para reducir la posibilidad de encontrarte con BloodyStealer u otro malware.
- Desconfía de los enlaces en correos electrónicos y mensajes de desconocidos.
- Antes de introducir tus credenciales en cualquier sitio web, asegúrate de que sea auténtico.
- Utiliza una solución de seguridad de confianza. Por ejemplo, Kaspersky Security Cloud bloquea BloodyStealer y no interfiere con la jugabilidad.