{"id":19098,"date":"2020-06-17T12:20:23","date_gmt":"2020-06-17T18:20:23","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19098"},"modified":"2020-06-17T12:20:23","modified_gmt":"2020-06-17T18:20:23","slug":"gaming-password-stealers","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/gaming-password-stealers\/19098\/","title":{"rendered":"C\u00f3mo los troyanos roban cuentas de los jugadores"},"content":{"rendered":"

A menudo hablamos acerca de las amenazas en l\u00ednea que los jugadores enfrentan, incluyendo el malware<\/em> en copias piratas, mods<\/em> y trucos, por no decir el phishing<\/em> y toda suerte de fraudes<\/a> al comprar o intercambiar art\u00edculos dentro del juego. Y no hace mucho, analizamos los problemas con la compra de cuentas<\/a>. Afortunadamente, es f\u00e1cil evitar esas amenazas si las conoces.<\/p>\n

Pero he aqu\u00ed otro problema que necesitas conocer y del que debes protegerte: los ladrones de contrase\u00f1as. Cuando nuestras soluciones de seguridad las captan, generalmente las se\u00f1alan como Trojan-PSW.(extensi\u00f3n). Son troyanos dise\u00f1ados para robar cuentas:\u00a0 nombres de usuario\/combinaciones de contrase\u00f1a o tokens<\/em> de sesi\u00f3n.<\/p>\n

Puede que hayas le\u00eddo acerca de los ladrones de Steam<\/a>; se trata de troyanos que roban cuentas en el servicio de juegos m\u00e1s popular del mundo. Pero existen otras plataformas como Battle.net, Origin, Uplay y Epic Games Store. Todas tienen audiencias de millones de d\u00f3lares, as\u00ed que naturalmente los atacantes est\u00e1n interesados y existen ladrones para ellas.<\/p>\n

\u00a0<\/p>\n

<\/strong><\/p>\n

\u00a0<\/strong><\/p>\n

\u00bfQu\u00e9 son los ladrones de contrase\u00f1as?<\/h2>\n

Los ladrones de contrase\u00f1as son un tipo de malware<\/em> que roba la informaci\u00f3n de cuenta. Esencialmente, son similares a los troyanos bancarios, pero en vez de interceptar o sustituir los datos ingresados, roban generalmente la informaci\u00f3n ya almacenada en la computadora: nombres de usuario y contrase\u00f1as guardados en el navegador<\/a>, cookies<\/em> y otros archivos que puedan estar en el disco duro del dispositivo infectado. Por otra parte, las cuentas de juegos son apenas uno de los objetivos de los ladrones;\u00a0 otros tambi\u00e9n muestran inter\u00e9s por tus credenciales de la banca en l\u00ednea.<\/p>\n

El malware<\/em> ladr\u00f3n puede apoderarse de las cuentas de muchas maneras. Por ejemplo, el troyano ladr\u00f3n Kpot (tambi\u00e9n conocido como Trojan-PSW.Win32.Kpot). Se distribuye principalmente a trav\u00e9s del spam<\/em> por correo electr\u00f3nico con los archivos adjuntos que usan vulnerabilidades (por ejemplo, en Microsoft Office) para descargar el malware<\/em> real en la computadora.<\/p>\n

Despu\u00e9s, el malware<\/em> ladr\u00f3n transfiere la informaci\u00f3n acerca de los programas instalados en la computadora al servidor de mando y control, y queda en espera de comandos para proceder. Entre los comandos posibles est\u00e1n los que roban cookies<\/em>, cuentas de Telegram y Skype y muchas m\u00e1s.<\/p>\n

Adem\u00e1s, puede robar los archivos con la extensi\u00f3n .config de la carpeta %APPDATA%\\Battle.net que, como puedes imaginar, est\u00e1 enlazada a Battle.net, la aplicaci\u00f3n de lanzamiento de juegos de Blizzard. Entre otras cosas, estos archivos contienen el token<\/em> de la sesi\u00f3n del jugador;\u00a0 es decir, los cibercriminales no obtienen el nombre de usuario ni la contrase\u00f1a reales, pero pueden utilizar el token<\/em> para hacerse pasar por el usuario.<\/p>\n

\u00bfPor qu\u00e9 har\u00edan eso? Es sencillo: pueden vender r\u00e1pidamente todos los art\u00edculos del juego de la v\u00edctima, embols\u00e1ndose a veces una buena cantidad. Esto es un panorama factible en varios t\u00edtulos de Blizzard, incluyendo World of Warcraft<\/em> y Diablo 3<\/em>.<\/p>\n

Otro malware<\/em>, dirigido contra Uplay, la plataforma de lanzamiento de juegos de Ubisoft, circula con el nombre de Okasidis y nuestras soluciones lo llaman Trojan-Banker.MSIL.Evital.gen. Con respecto a las cuentas de jugadores, se comporta exactamente como el troyano Kpot, salvo que roba dos archivos espec\u00edficos:\u00a0 %LOCALAPPDATA%\\Ubisoft Game Launcher\\users.dat y %LOCALAPPDATA%\\Ubisoft Game Launcher\\settings.yml.<\/p>\n

Uplay tambi\u00e9n resulta de\u00a0 inter\u00e9s para un tipo de malware<\/em> llamado Thief Stealer (identificado como HEUR: Trojan.Win32.Generic), que recolecta todos los archivos de la carpeta %LOCALAPPDATA%\\Ubisoft Game Launcher\\ .<\/p>\n

Adem\u00e1s, Uplay, Origin y Battle.net son el objetivo para el malware<\/em> BetaBot (identificado como Trojan.Win32.Neurevt). Pero este troyano tiene una forma de operar distinta. Si el usuario visita una URL que contiene ciertas palabras claves (cualquier direcci\u00f3n con las palabras \u201cuplay\u201d o \u201corigin,\u201d por ejemplo), el malware<\/em> activa la recolecci\u00f3n de datos de formularios en estas p\u00e1ginas. Es decir, los nombres de usuarios y las contrase\u00f1as de la cuenta ingresados en las p\u00e1ginas van directamente a los atacantes.<\/p>\n

En los tres casos, el usuario es poco proclive a notar algo;\u00a0 el troyano no se muestra de ninguna manera en la computadora, no exhibe ninguna ventana con solicitudes, sino que simplemente roba archivos y\/o datos furtivamente.<\/p>\n

\u00a0<\/p>\n

C\u00f3mo protegerse de los voraces troyanos en busca de cuentas de jugadores<\/h2>\n

En principio, las cuentas de los jugadores necesitan protecci\u00f3n m\u00e1s o menos de la misma manera que todo lo dem\u00e1s, incluyendo contra el malware<\/em> ladr\u00f3n. Sigue estos consejos para frustrar a los troyanos ladrones:<\/p>\n