Quisieron "repartir" headshots en Counter-Strike y acabaron regalando todas sus contraseñas.
Así «castigan» los hackers a los jugadores tramposos
Especialistas de Acronis registraron una campaña masiva de distribución de malware a través de plataformas populares para desarrolladores y comunidades de jugadores. Los atacantes disfrazan archivos maliciosos como "cheats" gratuitos para videojuegos, atrayendo a una audiencia dispuesta a descargar software no oficial para obtener ventaja en el juego.
Según el equipo Acronis Threat Research Unit, se detectaron cientos de repositorios en GitHub que distribuyen estos programas. El número real podría alcanzar miles: los atacantes ocultan enlaces maliciosos tras imágenes y redirigen a los usuarios a través de sitios de terceros, lo que complica su detección. Las campañas abarcan prácticamente todos los juegos en línea populares.
El principal malware en estos esquemas es la versión actualizada del infostealer Vidar 2.0. El aumento de su popularidad se relaciona con las acciones de las fuerzas del orden contra Lumma y Rhadamanthys. Tras la destrucción parcial de la infraestructura de esas familias, los atacantes se volcaron a alternativas y Vidar ocupó rápidamente el nicho liberado.
Vidar 2.0 roba datos de navegadores, incluidos contraseñas, cookies y autocompletado, así como tokens de Azure, contenido de monederos de criptomonedas, credenciales FTP y SSH, información de Telegram y Discord y archivos locales. Los datos obtenidos se usan o se venden en mercados clandestinos.
El esquema de infección se basa en la confianza en plataformas legítimas. En GitHub se publican páginas con la descripción de "cheats" que apuntan a sitios externos de descarga. Se insta al usuario a desactivar las protecciones, descomprimir un archivo con contraseña y ejecutar un archivo con privilegios de administrador. El malware a menudo se disfraza como ejecutable con nombres relacionados con juegos.
Campañas concretas se difunden a través de Reddit. Publicaciones que ofrecen cheats para Counter-Strike 2 conducen a sitios donde se descarga un archivo con carga maliciosa. En su interior se ocultan cargadores en varias etapas que, al final, recopilan y ejecutan Vidar 2.0.
La nueva versión del programa malicioso incorpora cambios técnicos importantes. Los desarrolladores reescribieron el código de C++ a C, añadieron polimorfismo y multihilo, lo que acelera su funcionamiento y dificulta su detección. El malware usa ofuscación, comprueba la presencia de depuradores y entornos virtuales, y oculta el control de la infraestructura a través de Telegram y perfiles de Steam.
Los jugadores se convierten en un objetivo fácil. Los cheats se descargan de fuentes no oficiales, se ignoran las advertencias de seguridad y las denuncias rara vez se realizan. A la vez, las cuentas de juego suelen contener objetos y moneda valiosa que se pueden vender en mercados grises. Un riesgo adicional es que una parte importante de la audiencia son adolescentes.
La situación demuestra que incluso plataformas grandes pueden utilizarse para la distribución de malware, y el cierre de algunos grupos suele dar lugar con rapidez a nuevas herramientas y campañas.