CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

02/09/2014

¿World of Malware? Programas maliciosos en el universo gamer

Gaming La industria de los videojuegos sigue creciendo constantemente en lo que respecta a la popularidad y la gran población de jugadores representa una oportunidad para que los delincuentes obtengan dinero.

La industria de los videojuegos sigue creciendo constantemente en lo que respecta a la popularidad y la gran población de jugadores representa una oportunidad para que los delincuentes obtengan dinero.

En esta publicación, en ocasión del Día del Gamer que se celebra el viernes 29 de agosto en países de habla hispana, exploraremos diversos ataques diseñados específicamente para jugadores; comenzaremos con juegos legítimos en los que se incorporaron troyanos, luego algunos programas de software malicioso y ataques especialmente dirigidos a la industria del videojuego. Finalmente, describiremos algunos exploits recientes encontrados en videojuegos.

Extractores de Bitcoins

Los últimos años presenciaron la introducción del Bitcoin, el Dogecoin y otras atractivas y modernas monedas criptográficas. Para crearlas, se resolvieron desafíos criptográficos de cálculos muy complejos, lo que requiere una gran capacidad de procesamiento. Como las plataformas de juegos se diseñan con procesadores muy potentes y tarjetas de video de última generación, pueden considerarse uno de los entornos más eficientes para extraer estas monedas digitales, con la ventaja de estar ampliamente difundidas entre los usuarios de Internet.

En 2013, un empleado de la comunidad ESEA Counter-Strike League introdujo en secreto un extractor de Bitcoins a su software contra trampas, que todos los miembros de la comunidad debían instalar para poder participar. Afortunadamente, la treta se descubrió bastante rápido y el empleado malicioso “ganó” menos de cuatro mil dólares en Bitcoins. Más recientemente, una versión pirata del juego “WatchDogs” traía un troyano incorporado para la extracción de Bitcoins, y le hizo ganar una buena suma al autor del torrent.

Keyloggers y ladrones de información

A medida que se fue incrementando la población de jugadores, ciertos bienes propios de los juegos comenzaron a tener un valor comercial real. Es posible adquirir personajes de nivel o valor elevados, monedas propias del juego, elementos legendarios e incluso sombreros con dinero real.

Pero cuando algo vale dinero, también significa que, para ciertas personas, vale la pena robarlo. Como consecuencia, algunos programas maliciosos se dedican a robar las credenciales de videojuegos. Estos ladrones de información generalmente se distribuyen bajo falsos pretextos y se ocultan tras programas que mejoran la experiencia de juego o se hacen pasar por herramientas legítimas.

Los keyloggers (registradores de pulsaciones) constituyen el tipo más prevalente de malware en el mundo del juego, identificados por ESET como Win32/PSW.OnLineGames. Estos programas pueden ser extremadamente simples, pero aún así demostraron ser muy efectivos a la hora de robar las credenciales de los jugadores para luego revender los elementos y los personajes. Son tantas las cuentas que resultan comprometidas, que los editores de los juegos ya se acostumbraron y prepararon una guía con las preguntas más frecuentes y los procesos para manejar esta situatción.

Para combatir este tipo de malware, algunos creadores de juegos de rol masivo y multijugador, como Blizzard (que publicó World Of Warcraft), comenzaron a utilizar la autenticación en dos fases. Se distribuye en forma de un dispositivo electrónico (o una aplicación para smartphone) que entrega códigos únicos de 6 dígitos que permanecen activos y son válidos solo durante un tiempo limitado, a partir del cual es necesario generar un código nuevo.

A comienzos de este año, un programa malicioso llamado Disker fue capaz de evadir este mecanismo de autenticación doble. Disker parece ser igual de complejo que el software malicioso diseñado para robar información bancaria y cuenta con la capacidad de robar tanto las credenciales de la cuenta de la víctima como su clave de autenticación de 6 dígitos.

Sin embargo, como la clave es válida durante un corto lapso de tiempo, el atacante debe estar tras su teclado en el momento de extraer la información para poder utilizarla. Por ese motivo, Disker implementa una forma de sortear este problema: mientras envía el código robado de 6 dígitos al atacante, envía un código erróneo al servidor de World Of Warcraft para que el usuario no logre registrarse. Llegado este punto, lo más probable es que la víctima deshabilite la autenticación en dos fases para poder disfrutar del juego. De ahí en más, el atacante ya no encuentra restricciones para operar dentro de un período corto de tiempo.

Ataques dirigidos

Los jugadores no son el único objetivo en el ecosistema del juego: las empresas de juegos también reciben ataques especialmente diseñados. Por ejemplo, el año pasado se descubrió un malware dirigido a al menos 30 empresas de juegos de rol masivo y multijugador. En este caso, el objetivo del ataque era:

  1. Desplegar malware en los equipos de los jugadores mediante el uso del servidor de actualización del juego de rol masivo y multijugador

  2. Manipular las monedas propias del juego

  3. Robar certificados digitales para crear malware firmado de modo que sea más fácil de propagar

  4. Robar el código fuente del juego de rol masivo y multijugador para desplegarlo en servidores falsos

Exploits

Los juegos de rol masivo y multijugador no son los únicos juegos que reciben ataques: hay otros tipos de juegos multijugador que también constituyen objetivos potenciales. Recientemente, los investigadores de seguridad Luigi Auriemma y Donato Ferrante estuvieron buscando vulnerabilidades en juegos y motores de juegos.

Los resultados son impresionantes: encontraron vulnerabilidades en el motor de origen, lo que hace que todos los juegos basados en dicho motor sean vulnerables, como el famoso Counter-Strike Source, Team Fortress 2 y Left 4 Dead. Dichas vulnerabilidades podrían utilizarse para ejecutar código en el equipo del jugador sin su conocimiento ni consentimiento, lo que potencialmente lleva a la instalación de malware sin requerir ningún tipo de acción por parte del usuario más allá de su actividad normal de juego.

Hoy en día, no existe ningún tipo de malware que se propague usando las vulnerabilidades en los juegos, pero el valor creciente de los bienes propios del juego pueden ser suficiente motivación para que ciertas personas maliciosas usen este tipo de ataque en la propagación de amenazas dirigidas a los juegos.

Conclusión

El surgimiento de malware dirigido específicamente a los juegos demuestra que el valor elevado de los bienes propios de los juegos es atractivo para los delincuentes.

La complejidad de estos tipos de malware y la implementación de Blizzard de medidas de protección similares a las utilizadas por los bancos indican que estamos al comienzo de una carrera de armamento entre los criminales y el mundo del juego.

En esta carrera, todos tienen un papel que jugar: los editores deben proteger adecuadamente las cuentas de los jugadores, y los jugadores deben aprender sobre los peligros, las soluciones existentes y la forma en que se deben comportar para disfrutar de los juegos en forma segura.

Fuente: We Live Security

CSIRT-CV