BloodyStealer a la caza de gamers

En marzo de este año, nuestros expertos descubrieron en un foro clandestino el anuncio de una pieza de malware cuyos creadores apodaban BloodyStealer.

El anuncio afirmaba que se roba estos datos de los dispositivos infectados:

• Contraseñas, cookies, detalles de tarjetas bancarias, datos de autorelleno del navegador.
• Datos de dispositivos.
• Capturas de pantalla.
• Archivos de clientes de escritorio y uTorrent.
• Sesiones de clientes de Bethesda, Epic Games, GOG, Origin, Steam, Telegram y VimeWorld.
• Registros

Anuncio de BloodyStealer

Lo que nos llamó la atención es que la mayoría de los programas que se listan están relacionados con los videojuegos, lo que parece indicar que las cuentas de gamers y su contenido tienen gran demanda en el mercado clandestino. Decidimos examinar a detalle los riesgos exactos a los que se enfrentan los gamers.

BloodyStealer conquista el mundo

Si bien BloodyStealer es relativamente nuevo, ya está rondando por el mundo. De acuerdo con nuestros datos, el malware atacó a usuarios en Europa, América Latina, y la región de Asia-Pacífico, lo cual no sorprende dado su modelo de distribución malware-as-a-service (MaaS), lo que significa que cualquiera puede comprarlo a un bajo costo (aproximadamente 10 dólares al mes o más o menos 40 dólares por una licencia vitalicia).

Además de sus funciones de robo, el malware cuenta con un conjunto de herramientas cuyo objetivo es frustrar el análisis (más al respecto aquí). Envía la información robada como un archivo ZIP al servidor C&C, el cual está protegido contra ataques DDoS y otros ataques web. Los cibercriminales utilizan ya sea el panel de control (muy básico) o Telegram para obtener los datos, incluidas las cuentas de gamers.

No solo BloodyStealer

BloodyStealer es solo una de muchas herramientas disponibles en la dark web para robar cuentas de gamers. Los cibercriminales venden otros tipos de malware, muchos de los cuales han estado en el mercado por más tiempo que BloodyStealer. Además, los foros clandestinos con frecuencia contienen anuncios que ofrecen publicar un enlace maliciosos en un sitio web popular o vender herramientas para generar páginas de phishing de manera automática.

Cibercriminal vende la herramienta de phishing BlackMafia para crear páginas PUBG falsas

Con ayuda de estas herramientas, los cibercriminales pueden recopilar, y después tratar de monetizar una gran cantidad de credenciales. Se puede encontrar todo tipo de ofertas relacionadas con cuentas de gamers en la dark web.

Registros para acceso en ventas mayoristas

Entre los productos más populares están los llamados registros que son bases de datos que contienen montones de datos para iniciar sesión en cuentas. En sus anuncios, los atacantes pueden especificar el tipo de datos, la geografía de los usuarios, el periodo en el que los registros fueron recopilados y otros detalles. Por ejemplo, en la captura de pantalla a continuación, un miembro de un foro clandestino ofrece un archivo con 65,600 registros, de los cuales 9,000 están vinculados a usuarios de los Estados Unidos, y 5,000 a residentes de India, Turquía y Canadá. Todo el archivo cuesta 150 dólares (aproximadamente 0.2 centavos por entrada).

Anuncio en la dark web para venta de registros para agosto de 2021

Habiendo dicho esto, estas bases de datos pueden contener información obsoleta, o incluso inservible, por lo que algunos vendedores permiten que los compradores revisen los registros para confirmar que están actualizados.

Registros frescos a 300 dólares por 1,000 entradas

Cuentas de gamers, juegos e inventario

Los cibercriminales también venden acceso a cuentas de gaming específicas, tanto de manera individual como en mayoreo. Por lo que no sorprende que cuentas con muchos juegos, complementos y artículos costosos tengan un valor especial. Lo normal es que los cibercriminales las vendan con enormes descuentos.

Un cibercriminal que vende 280,000 cuentas de gamers por solo 4,000 dólares

El contenido de la cuenta también se comercia por una fracción de su valor real. En la dark web, por ejemplo, puedes encontrar Need for Speed y otros títulos que se venden por menos de 50 centavos.

Los juegos de cuentas robadas se venden al precio de una canción

Los artículos dentro del juego también circulan.

Skins con descuento en el mercado clandestino

Cómo evitar ser víctima de BloodyStealer y otros ladrones

El propietario de una cuenta robada no solo se enfrenta a que sus juegos y artículos dentro del juego sean rematados. Los cibercriminales o compradores (no importa en realidad para la víctima) pueden utilizar la cuenta para lavar dinero, distribuir enlaces de phishing, entre otras cosas ilegales. Para evitar ser víctima de los cibercriminales, asegúrate de que tus cuentas y dispositivos estén asegurados.

• Protege tus cuentas con contraseñas seguras, habilita la autenticación de dos factores, y, en general, aprovecha todas las configuraciones de seguridad de la plataforma (consulta nuestras guías para usuarios de Steam, net, Origin, Twitch y Discord).
• Descarga aplicaciones solo de fuentes oficiales para reducir la posibilidad de encontrarte con BloodyStealer u otro malware.
• Desconfía de los enlaces en correos electrónicos y mensajes de desconocidos.
• Antes de ingresar tus credenciales en cualquier sitio web, asegúrate de que sea genuino.
• Utiliza una solución de seguridad de confianza. Por ejemplo, Kaspersky Security Cloud bloquea BloodyStealer y no interfiere con la jugabilidad.