Cómo los troyanos roban cuentas de los jugadores

A menudo hablamos acerca de las amenazas en línea que los jugadores enfrentan, incluyendo el malware en copias piratas, mods y trucos, por no decir el phishing y toda suerte de fraudes al comprar o intercambiar artículos dentro del juego. Y no hace mucho, analizamos los problemas con la compra de cuentas. Afortunadamente, es fácil evitar esas amenazas si las conoces.

Pero he aquí otro problema que necesitas conocer y del que debes protegerte: los ladrones de contraseñas. Cuando nuestras soluciones de seguridad las captan, generalmente las señalan como Trojan-PSW.(extensión). Son troyanos diseñados para robar cuentas:  nombres de usuario/combinaciones de contraseña o tokens de sesión.

Puede que hayas leído acerca de los ladrones de Steam; se trata de troyanos que roban cuentas en el servicio de juegos más popular del mundo. Pero existen otras plataformas como Battle.net, Origin, Uplay y Epic Games Store. Todas tienen audiencias de millones de dólares, así que naturalmente los atacantes están interesados y existen ladrones para ellas.

¿Qué son los ladrones de contraseñas?

Los ladrones de contraseñas son un tipo de malware que roba la información de cuenta. Esencialmente, son similares a los troyanos bancarios, pero en vez de interceptar o sustituir los datos ingresados, roban generalmente la información ya almacenada en la computadora: nombres de usuario y contraseñas guardados en el navegador, cookies y otros archivos que puedan estar en el disco duro del dispositivo infectado. Por otra parte, las cuentas de juegos son apenas uno de los objetivos de los ladrones;  otros también muestran interés por tus credenciales de la banca en línea.

El malware ladrón puede apoderarse de las cuentas de muchas maneras. Por ejemplo, el troyano ladrón Kpot (también conocido como Trojan-PSW.Win32.Kpot). Se distribuye principalmente a través del spam por correo electrónico con los archivos adjuntos que usan vulnerabilidades (por ejemplo, en Microsoft Office) para descargar el malware real en la computadora.

Después, el malware ladrón transfiere la información acerca de los programas instalados en la computadora al servidor de mando y control, y queda en espera de comandos para proceder. Entre los comandos posibles están los que roban cookies, cuentas de Telegram y Skype y muchas más.

Además, puede robar los archivos con la extensión .config de la carpeta %APPDATA%\Battle.net que, como puedes imaginar, está enlazada a Battle.net, la aplicación de lanzamiento de juegos de Blizzard. Entre otras cosas, estos archivos contienen el token de la sesión del jugador;  es decir, los cibercriminales no obtienen el nombre de usuario ni la contraseña reales, pero pueden utilizar el token para hacerse pasar por el usuario.

¿Por qué harían eso? Es sencillo: pueden vender rápidamente todos los artículos del juego de la víctima, embolsándose a veces una buena cantidad. Esto es un panorama factible en varios títulos de Blizzard, incluyendo World of Warcraft y Diablo 3.

Otro malware, dirigido contra Uplay, la plataforma de lanzamiento de juegos de Ubisoft, circula con el nombre de Okasidis y nuestras soluciones lo llaman Trojan-Banker.MSIL.Evital.gen. Con respecto a las cuentas de jugadores, se comporta exactamente como el troyano Kpot, salvo que roba dos archivos específicos:  %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat y %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Uplay también resulta de  interés para un tipo de malware llamado Thief Stealer (identificado como HEUR: Trojan.Win32.Generic), que recolecta todos los archivos de la carpeta %LOCALAPPDATA%\Ubisoft Game Launcher\ .

Además, Uplay, Origin y Battle.net son el objetivo para el malware BetaBot (identificado como Trojan.Win32.Neurevt). Pero este troyano tiene una forma de operar distinta. Si el usuario visita una URL que contiene ciertas palabras claves (cualquier dirección con las palabras “uplay” o “origin,” por ejemplo), el malware activa la recolección de datos de formularios en estas páginas. Es decir, los nombres de usuarios y las contraseñas de la cuenta ingresados en las páginas van directamente a los atacantes.

En los tres casos, el usuario es poco proclive a notar algo;  el troyano no se muestra de ninguna manera en la computadora, no exhibe ninguna ventana con solicitudes, sino que simplemente roba archivos y/o datos furtivamente.

Cómo protegerse de los voraces troyanos en busca de cuentas de jugadores

En principio, las cuentas de los jugadores necesitan protección más o menos de la misma manera que todo lo demás, incluyendo contra el malware ladrón. Sigue estos consejos para frustrar a los troyanos ladrones:

• Protege tu cuenta con la autenticación de dos factores. Steam cuenta con Steam Guard, Battle.net tiene Blizzard Authenticator y Epic Games Store ofrece las opciones como la aplicación de autenticación y la autenticación mediante SMS o mensaje de correo. Si tu cuenta está protegida mediante la autenticación de dos factores, entonces los cibercriminales necesitarán más que un nombre de usuario y una contraseña para poder ingresar a ella.
• No descargues mods de sitios sospechosos ni software Los atacantes conocen de sobra el gusto que las personas sienten por las cosas gratis y lo aprovechan ocultando el malware en cracks, trampas y mods.
• Utiliza una solución confiable de seguridad. Por ejemplo, Kaspersky Security Cloud detecta todo este malware ladrón y evita que siquiera toque algo.
• No apagues tu antivirus al jugar. Si lo haces, un ladrón de contraseñas de pronto puede entrar en acción. El modo de juego de Kaspersky Security Cloud evita que el antivirus consuma muchos recursos del sistema durante una partida. No tiene ningún impacto en el rendimiento o la tasa de cuadros por segundo, y aun así se encarga de la seguridad.