{"id":27787,"date":"2024-11-13T23:11:49","date_gmt":"2024-11-14T05:11:49","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27787"},"modified":"2024-11-13T23:11:49","modified_gmt":"2024-11-14T05:11:49","slug":"how-to-play-tanks-and-catch-backdoor","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/27787\/","title":{"rendered":"El juego de tanques que te crea una puerta trasera"},"content":{"rendered":"<p>Battle City, conocido coloquialmente como \u201cese juego de tanques\u201d, es un s\u00edmbolo de una era pasada. Hace unos 30 a\u00f1os, los jugadores met\u00edan un cartucho en su consola, se pon\u00edan frente a un voluminoso televisor y destru\u00edan oleadas de tanques enemigos hasta que limpiaban toda la pantalla.<\/p>\n<p>En la actualidad, el mundo es un lugar diferente, pero los juegos de tanques siguen siendo muy populares. Las versiones modernas ofrecen a los jugadores no solo la emoci\u00f3n del juego, sino tambi\u00e9n la oportunidad de ganar NFT. Los ciberdelincuentes tambi\u00e9n tienen algo que ofrecer: un ataque sofisticado dirigido a los entusiastas de esos criptojuegos.<\/p>\n<h2>Puerta trasera y exploit de d\u00eda cero en Google Chrome<\/h2>\n<p>Esta historia comienza en febrero de 2024, cuando <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">nuestra soluci\u00f3n de seguridad<\/a>\u00a0detecta la puerta trasera Manuscrypt en el ordenador de un usuario en Rusia. Conocemos muy bien esta puerta trasera, ya que el grupo <a href=\"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/\" target=\"_blank\" rel=\"noopener\">Lazarus APT<\/a> ha utilizado varias versiones de ella desde al menos 2013. As\u00ed pues, dado que ya conocemos la herramienta principal y los m\u00e9todos utilizados por los atacantes, \u00bfqu\u00e9 tiene de especial este incidente en particular?<\/p>\n<p>Estos piratas inform\u00e1ticos generalmente se dirigen a grandes organizaciones como bancos, empresas de TI, universidades e incluso organismos gubernamentales. Sin embargo, en esta ocasi\u00f3n Lazarus atac\u00f3 a un usuario individual, \u00a1y coloc\u00f3 una puerta trasera en un ordenador personal! Los ciberdelincuentes atrajeron a la v\u00edctima a un sitio de juegos y, con ello, obtuvieron acceso completo a su sistema. Lo lograron gracias a tres factores:<\/p>\n<ul>\n<li>El irresistible deseo de la v\u00edctima de disfrutar de su juego de tanques favorito en un nuevo formato<\/li>\n<li>Una vulnerabilidad de d\u00eda cero en Google Chrome<\/li>\n<li>Un exploit que permit\u00eda la ejecuci\u00f3n remota de c\u00f3digo en el proceso de Google Chrome<\/li>\n<\/ul>\n<p>Pero no es necesario que te preocupes por esto que te contamos: desde entonces, Google ha lanzado una actualizaci\u00f3n del navegador, ha bloqueado el sitio web del juego de tanques y <a href=\"https:\/\/chromereleases.googleblog.com\/2024\/05\/stable-channel-update-for-desktop_15.html\" target=\"_blank\" rel=\"noopener nofollow\">le ha dado las gracias<\/a> a los investigadores de seguridad de Kaspersky. De todas formas, por si acaso, <a href=\"https:\/\/latam.kaspersky.com\/home-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">nuestros productos<\/a>\u00a0detectan tanto la puerta trasera Manuscrypt como el exploit. Hemos profundizado en los detalles de esta historia en el <a href=\"https:\/\/securelist.com\/lazarus-apt-steals-crypto-with-a-tank-game\/114282\/\" target=\"_blank\" rel=\"noopener\">blog de Securelist<\/a>.<\/p>\n<p><strong>Cuentas falsas<\/strong><\/p>\n<p>Al inicio de la investigaci\u00f3n, pensamos que el grupo se hab\u00eda tomado todas las molestias del mundo: \u201c\u00bfse hab\u00edan atrevido a crear un juego completo solo para una estafa?\u201d Pero pronto nos dimos cuenta de lo que realmente hab\u00edan hecho. Los ciberdelincuentes hab\u00edan basado su juego, DeTankZone, en el juego existente DeFiTankLand. Realmente se esforzaron much\u00edsimo: robaron el c\u00f3digo fuente de DeFiTankLand y crearon cuentas falsas en las redes sociales para su versi\u00f3n falsa.<\/p>\n<p>Casi al mismo tiempo, en marzo de 2024, el precio de la criptomoneda DefitankLand (sic) se desplom\u00f3: los desarrolladores del juego original <a href=\"https:\/\/t.me\/DFTLofficial\/8935\" target=\"_blank\" rel=\"noopener nofollow\">anunciaron<\/a> que hab\u00edan pirateado su <a href=\"https:\/\/latam.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/26308\/\" target=\"_blank\" rel=\"noopener\">cartera fr\u00eda<\/a> y que \u201calguien\u201d les hab\u00eda robado 20\u00a0000 USD. La identidad de este \u201calguien\u201d sigue siendo un misterio. Los desarrolladores creen que fue alguien de su propio equipo, pero sospechamos que las manos omnipresentes de Lazarus estaban implicadas.<\/p>\n<div id=\"attachment_27789\" style=\"width: 1810px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13224410\/how-to-play-tanks-and-catch-backdoor-1.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27789\" class=\"wp-image-27789 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13224410\/how-to-play-tanks-and-catch-backdoor-1.png\" alt=\"Las diferencias entre la versi\u00f3n falsa y la original son m\u00ednimas\" width=\"1800\" height=\"864\"><\/a><p id=\"caption-attachment-27789\" class=\"wp-caption-text\">Las diferencias entre la versi\u00f3n falsa y la original son m\u00ednimas<\/p><\/div>\n<p>Los ciberdelincuentes orquestaron una campa\u00f1a de promoci\u00f3n en toda regla para su juego: aumentaron el n\u00famero de seguidores en X (antes Twitter), enviaron ofertas de colaboraci\u00f3n a cientos de influencers de criptomonedas (tambi\u00e9n v\u00edctimas potenciales), crearon cuentas premium de LinkedIn y organizaron oleadas de correos electr\u00f3nicos de phishing. Como resultado, el juego falso obtuvo incluso m\u00e1s popularidad que el <a href=\"https:\/\/twitter.com\/defitankland\" target=\"_blank\" rel=\"noopener nofollow\">original<\/a> (6000 seguidores en X frente a los 5000 de la cuenta del juego verdadero).<\/p>\n<div id=\"attachment_27790\" style=\"width: 1325px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13224525\/how-to-play-tanks-and-catch-backdoor-2.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27790\" class=\"wp-image-27790 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13224525\/how-to-play-tanks-and-catch-backdoor-2.png\" alt=\"Contenido en redes sociales creado por IA con la ayuda de dise\u00f1adores gr\u00e1ficos\" width=\"1315\" height=\"696\"><\/a><p id=\"caption-attachment-27790\" class=\"wp-caption-text\">Contenido en redes sociales creado por IA con la ayuda de dise\u00f1adores gr\u00e1ficos<\/p><\/div>\n<p><strong>C\u00f3mo jugamos a los tanques<\/strong><\/p>\n<p>Veamos ahora la parte m\u00e1s divertida: el sitio malicioso al que Lazarus atrajo a sus v\u00edctimas ofrec\u00eda la oportunidad no solo de \u201cprobar\u201d un exploit del navegador de d\u00eda cero, sino tambi\u00e9n de jugar a una versi\u00f3n beta del juego. Como en Kaspersky somos muy aficionados a los cl\u00e1sicos, no pudimos resistirnos a probar esta nueva y prometedora versi\u00f3n. Descargamos un archivo que parec\u00eda completamente leg\u00edtimo: 400 MB de tama\u00f1o, estructura de archivos correcta, logotipos, elementos de interfaz de usuario y texturas de modelos 3D. As\u00ed pues, \u00a1abrimos el juego!<\/p>\n<p>El men\u00fa de inicio de DeTankZone nos recibe con un aviso para que introduzcamos una direcci\u00f3n de correo electr\u00f3nico y una contrase\u00f1a. Primero intentamos iniciar sesi\u00f3n con <a href=\"https:\/\/latam.kaspersky.com\/blog\/password-can-be-hacked-in-one-hour\/27453\/\" target=\"_blank\" rel=\"noopener\">contrase\u00f1as comunes<\/a>, como \u201c12345\u201d o \u201cpassword\u201d, pero no funcionaba. \u201cNo pasa nada\u201d, pensamos. \u201cTendremos que registrar una cuenta nueva y ya est\u00e1\u201d. De nuevo, no hubo suerte. El sistema no nos dejaba jugar.<\/p>\n<div id=\"attachment_27791\" style=\"width: 1930px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13224809\/how-to-play-tanks-and-catch-backdoor-3.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27791\" class=\"wp-image-27791 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13224809\/how-to-play-tanks-and-catch-backdoor-3.png\" alt=\"El men\u00fa de inicio inspira confianza con un formulario de inicio de sesi\u00f3n aparentemente leg\u00edtimo.\" width=\"1920\" height=\"1080\"><\/a><p id=\"caption-attachment-27791\" class=\"wp-caption-text\">El men\u00fa de inicio inspira confianza con un formulario de inicio de sesi\u00f3n aparentemente leg\u00edtimo.<\/p><\/div>\n<p>Adem\u00e1s, \u00bfpor qu\u00e9 se incluyen texturas de modelos 3D y otros archivos en la carpeta del juego? \u00bfPodr\u00edan ser realmente otros componentes del malware? En realidad, no llegaron a ese extremo. Realizamos ingenier\u00eda inversa del c\u00f3digo y descubrimos los elementos responsables de la conexi\u00f3n al servidor del juego. En esta versi\u00f3n falsa, dichos elementos no funcionaban. As\u00ed pues, en teor\u00eda, era posible jugar al juego. Con un poco de paciencia y algo de programaci\u00f3n, <em>lo conseguimos<\/em>: sustituimos el servidor pirata por el nuestro y el tanque rojo \u201cBoris\u201d pudo entrar en acci\u00f3n.<\/p>\n<div id=\"attachment_27792\" style=\"width: 1556px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13230917\/how-to-play-tanks-and-catch-backdoor-4.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27792\" class=\"wp-image-27792 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/11\/13230917\/how-to-play-tanks-and-catch-backdoor-4.png\" alt=\"El juego nos record\u00f3 a los juegos shareware de hace veinte a\u00f1os; sin duda vali\u00f3 la pena todo nuestro esfuerzo\" width=\"1546\" height=\"806\"><\/a><p id=\"caption-attachment-27792\" class=\"wp-caption-text\">El juego nos record\u00f3 a los juegos shareware de hace veinte a\u00f1os; sin duda vali\u00f3 la pena todo nuestro esfuerzo<\/p><\/div>\n<h2>Lecciones de este ataque<\/h2>\n<p>La conclusi\u00f3n clave es que incluso los enlaces web aparentemente inofensivos pueden terminar con el secuestro de tu ordenador. Los ciberdelincuentes perfeccionan constantemente sus t\u00e1cticas y m\u00e9todos. Lazarus ya est\u00e1 empleando la IA generativa con cierto \u00e9xito, lo que significa que podemos esperar ataques a\u00fan m\u00e1s sofisticados en el futuro gracias a ella.<\/p>\n<p><a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Las soluciones de seguridad<\/a> tambi\u00e9n est\u00e1n evolucionando, gracias a la integraci\u00f3n efectiva de la IA. Puedes obtener m\u00e1s informaci\u00f3n <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-role-in-cybersecurity-automation\/52448\/\" target=\"_blank\" rel=\"noopener nofollow\">aqu\u00ed<\/a> y <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-cybersecurity-practical-soc-usage\/52474\/\" target=\"_blank\" rel=\"noopener nofollow\">aqu\u00ed<\/a>. Por lo tanto, lo \u00fanico que los usuarios habituales de Internet deben hacer es asegurarse de <a href=\"https:\/\/latam.kaspersky.com\/home-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">proteger<\/a>\u00a0sus dispositivos y mantenerse al d\u00eda de las \u00faltimas estafas. Afortunadamente, Kaspersky Daily facilita esta tarea: <a href=\"http:\/\/latam.kaspersky.com\/blog\/subscribe\/\" target=\"_blank\" rel=\"noopener\">suscr\u00edbete<\/a> para no perderte ninguna noticia importante.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Los ciberdelincuentes han ideado una nueva estratagema: atraer a los jugadores a un moderno juego de tanques y criptomonedas para obtener acceso total a sus ordenadores.<\/p>\n","protected":false},"author":2706,"featured_media":27788,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2737],"tags":[3110,354,42,31,6005],"class_list":{"0":"post-27787","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-criptomonedas","10":"tag-estafa","11":"tag-juegos","12":"tag-phishing","13":"tag-vulnerabilidad-de-dia-cero"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/27787\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-play-tanks-and-catch-backdoor\/28271\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/23526\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-play-tanks-and-catch-backdoor\/28412\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-play-tanks-and-catch-backdoor\/30528\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-play-tanks-and-catch-backdoor\/29279\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-play-tanks-and-catch-backdoor\/38498\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-play-tanks-and-catch-backdoor\/12940\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/52561\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-play-tanks-and-catch-backdoor\/22352\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-play-tanks-and-catch-backdoor\/23095\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-play-tanks-and-catch-backdoor\/28482\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-play-tanks-and-catch-backdoor\/34367\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-play-tanks-and-catch-backdoor\/33992\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/estafa\/","name":"estafa"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27787","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=27787"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27787\/revisions"}],"predecessor-version":[{"id":27793,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27787\/revisions\/27793"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/27788"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=27787"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=27787"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=27787"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}