Cómo roban los troyanos las cuentas de los jugadores

Un tipo particular de malware busca credenciales de usuarios, incluyendo cuentas para servicios de juegos como Origin, Battle.net y Uplay.

A menudo hablamos acerca de las amenazas online a las que se enfrentan los gamers: el malware en copias piratas, los mods y las trampas, por no hablar del phishing y todo tipo de estafas a la hora de comprar o intercambiar artículos dentro del juego. No hace mucho, analizamos los problemas que surgen con la compra de cuentas. Afortunadamente, es fácil evitar esas amenazas si las conoces.

Pero hay otro problema que necesitas conocer y del que debes protegerte: los ladrones de contraseñas. Cuando nuestras soluciones de seguridad dan con ellos, generalmente los identifican como Trojan-PSW.(extensión). Se trata de troyanos diseñados para robar cuentas: nombres de usuario/combinaciones de contraseña o tokens de inicio de sesión.

Es probable que hayas oído hablar acerca de los ladrones de Steam; se trata de troyanos que roban cuentas en el servicio de juegos más popular del mundo. Pero existen otras plataformas como Battle.net, Origin, Uplay y Epic Games Store. Sus usuarios suman millones de dólares, lo que atrae el interés de los atacantes y, por tanto, la aparición de estos ladrones.

¿Qué son los ladrones de contraseñas?

Los ladrones de contraseñas son un tipo de malware que roba la información de tu cuenta. Básicamente, son similares a los troyanos bancarios, pero en vez de interceptar o sustituir los datos introducidos, estos suelen roban la información ya almacenada en el ordenador: nombres de usuario y contraseñas guardados en el navegador, cookies y otros archivos que puedan estar en el disco duro del dispositivo infectado. Por otra parte, las cuentas de juegos representan tan solo uno de los objetivos de los ladrones; otros también muestran interés por tus credenciales en la banca online.

Los ladrones pueden apoderarse de las cuentas de muchas formas. Por ejemplo, el troyano ladrón Kpot, también conocido como Trojan-PSW.Win32.Kpot, se distribuye principalmente a través del spam del correo electrónico a través de los archivos adjuntos que usan vulnerabilidades (por ejemplo, en Microsoft Office) para descargar el malware en el ordenador.

Después, el ladrón transfiere la información acerca de los programas instalados en el ordenador al servidor de mando y control y queda en espera de los comandos para proceder: robar las cookies, las cuentas de Telegram y Skype, etc.

Además, puede robar los archivos con la extensión .config de la carpeta %APPDATA%\Battle.net que, como puedes imaginar, está enlazada a Battle.net, la aplicación de lanzamiento de juegos de Blizzard. Entre otras cosas, estos archivos contienen el token de inicio de sesión del jugador; es decir, los ciberdelincuentes no obtienen el nombre de usuario ni la contraseña reales, pero pueden utilizar el token para hacerse pasar por el usuario.

¿Por qué harían eso? Es sencillo: pueden vender rápidamente todos los artículos del juego de la víctima, embolsándose a veces una buena cantidad. Se trata de un panorama bastante factible en varios títulos de Blizzard, como World of Warcraft y Diablo 3.

Otro malware, dirigido contra Uplay, la plataforma de lanzamiento de juegos de Ubisoft, circula con el nombre de Okasidis y nuestras soluciones lo reconocen como Trojan-Banker.MSIL.Evital.gen. Con respecto a las cuentas de los jugadores, se comporta exactamente igual que el troyano Kpot, salvo que este roba dos archivos específicos:  %LOCALAPPDATA%\Ubisoft Game Launcher\users.dat y %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Uplay también resulta de interés para un tipo de malware llamado Thief Stealer (identificado como HEUR: Trojan.Win32.Generic), que recopila todos los archivos de la carpeta %LOCALAPPDATA%\Ubisoft Game Launcher\ .

Además, Uplay, Origin y Battle.net son objetivos del malware BetaBot (identificado como Trojan.Win32.Neurevt). Pero este troyano tiene una forma de operar distinta. Si el usuario visita una URL que contiene ciertas palabras claves (cualquier dirección con las palabras “uplay” o “origin,” por ejemplo), el malware activa la recopilación de datos mediante formularios en estas páginas. Es decir, los nombres de usuarios y las contraseñas de la cuenta introducidos en las páginas van a parar directamente a manos los atacantes.

En estos tres casos hay algo en común: es muy poco probable que el usuario se percate de algo. El troyano no se muestra de ninguna forma en el ordenador, no muestra ninguna ventana con solicitudes, sino que simplemente roba archivos y/o datos furtivamente.

Cómo protegerse de los voraces troyanos en busca de cuentas de jugadores

Al igual que todo lo demás, las cuentas de los gamers también necesitan protección, una que actúe contra el malware ladrón. Sigue estos consejos para evitar a los ladrones:

  • Protege tu cuenta con la autenticación de dos factores. Steam cuenta con Steam Guard, Battle.net tiene Blizzard Authenticator y Epic Games Store ofrece las opciones como una aplicación de autenticación y la autenticación mediante SMS o mensaje de correo. Si tu cuenta está protegida mediante la autenticación de doble factor, los ciberdelincuentes necesitarán más que un nombre de usuario y una contraseña para poder acceder a ella.
  • No descargues mods de sitios sospechosos ni software. Los atacantes conocen de sobra el gusto por las cosas gratuitas y lo aprovechan ocultando el malware en cracks, trampas y mods.
  • Utiliza una solución fiable de seguridad. Por ejemplo, Kaspersky Security Cloud detecta los ladrones y evita su actuación.
  • No apagues tu antivirus cuando estés jugando. Si lo haces, un ladrón de contraseñas podría entrar en acción. El modo de juego de Kaspersky Security Cloud evita que el antivirus consuma muchos recursos del sistema durante tu partida. No afecta al rendimiento ni a la tasa de fotogramas por segundo, pero sí se encarga de la seguridad.
Consejos