{"id":22972,"date":"2020-06-22T13:59:45","date_gmt":"2020-06-22T11:59:45","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22972"},"modified":"2020-06-22T14:23:45","modified_gmt":"2020-06-22T12:23:45","slug":"gaming-password-stealers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/gaming-password-stealers\/22972\/","title":{"rendered":"C\u00f3mo roban los troyanos las cuentas de los jugadores"},"content":{"rendered":"

A menudo hablamos acerca de las amenazas online<\/em> a las que se enfrentan los gamers<\/em>: el malware<\/em> en copias piratas, los mods<\/em> y las trampas, por no hablar del phishing<\/em> y todo tipo de estafas<\/a> a la hora de comprar o intercambiar art\u00edculos dentro del juego. No hace mucho, analizamos los problemas que surgen con la compra de cuentas<\/a>. Afortunadamente, es f\u00e1cil evitar esas amenazas si las conoces.<\/p>\n

Pero hay otro problema que necesitas conocer y del que debes protegerte: los ladrones de contrase\u00f1as. Cuando nuestras soluciones de seguridad dan con ellos, generalmente los identifican como Trojan-PSW.(extensi\u00f3n). Se trata de troyanos dise\u00f1ados para robar cuentas: nombres de usuario\/combinaciones de contrase\u00f1a o tokens<\/em> de inicio de sesi\u00f3n.<\/p>\n

Es probable que hayas o\u00eddo hablar acerca de los ladrones de Steam<\/a>; se trata de troyanos que roban cuentas en el servicio de juegos m\u00e1s popular del mundo. Pero existen otras plataformas como Battle.net, Origin, Uplay y Epic Games Store. Sus usuarios suman millones de d\u00f3lares, lo que atrae el inter\u00e9s de los atacantes y, por tanto, la aparici\u00f3n de estos ladrones.<\/p>\n\n

\u00bfQu\u00e9 son los ladrones de contrase\u00f1as?<\/h2>\n

Los ladrones de contrase\u00f1as son un tipo de malware<\/em> que roba la informaci\u00f3n de tu cuenta. B\u00e1sicamente, son similares a los troyanos bancarios, pero en vez de interceptar o sustituir los datos introducidos, estos suelen roban la informaci\u00f3n ya almacenada en el ordenador: nombres de usuario y contrase\u00f1as guardados en el navegador<\/a>, cookies<\/em> y otros archivos que puedan estar en el disco duro del dispositivo infectado. Por otra parte, las cuentas de juegos representan tan solo uno de los objetivos de los ladrones;\u00a0otros tambi\u00e9n muestran inter\u00e9s por tus credenciales en la banca online<\/em>.<\/p>\n

Los ladrones pueden apoderarse de las cuentas de muchas formas. Por ejemplo, el troyano ladr\u00f3n Kpot, tambi\u00e9n conocido como Trojan-PSW.Win32.Kpot, se distribuye principalmente a trav\u00e9s del spam<\/em> del correo electr\u00f3nico a trav\u00e9s de los archivos adjuntos que usan vulnerabilidades (por ejemplo, en Microsoft Office) para descargar el malware<\/em> en el ordenador.<\/p>\n

Despu\u00e9s, el ladr\u00f3n transfiere la informaci\u00f3n acerca de los programas instalados en el ordenador al servidor de mando y control y queda en espera de los comandos para proceder: robar las cookies<\/em>, las cuentas de Telegram y Skype, etc.<\/p>\n

Adem\u00e1s, puede robar los archivos con la extensi\u00f3n .config de la carpeta %APPDATA%\\Battle.net que, como puedes imaginar, est\u00e1 enlazada a Battle.net, la aplicaci\u00f3n de lanzamiento de juegos de Blizzard. Entre otras cosas, estos archivos contienen el token<\/em> de inicio de sesi\u00f3n del jugador;\u00a0es decir, los ciberdelincuentes no obtienen el nombre de usuario ni la contrase\u00f1a reales, pero pueden utilizar el token<\/em> para hacerse pasar por el usuario.<\/p>\n

\u00bfPor qu\u00e9 har\u00edan eso? Es sencillo: pueden vender r\u00e1pidamente todos los art\u00edculos del juego de la v\u00edctima, embols\u00e1ndose a veces una buena cantidad. Se trata de un panorama bastante factible en varios t\u00edtulos de Blizzard, como World of Warcraft<\/em> y Diablo 3<\/em>.<\/p>\n

Otro malware<\/em>, dirigido contra Uplay, la plataforma de lanzamiento de juegos de Ubisoft, circula con el nombre de Okasidis y nuestras soluciones lo reconocen como Trojan-Banker.MSIL.Evital.gen. Con respecto a las cuentas de los jugadores, se comporta exactamente igual que el troyano Kpot, salvo que este roba dos archivos espec\u00edficos:\u00a0 %LOCALAPPDATA%\\Ubisoft Game Launcher\\users.dat y %LOCALAPPDATA%\\Ubisoft Game Launcher\\settings.yml.<\/p>\n

Uplay tambi\u00e9n resulta de inter\u00e9s para un tipo de malware<\/em> llamado Thief Stealer (identificado como HEUR: Trojan.Win32.Generic), que recopila todos los archivos de la carpeta %LOCALAPPDATA%\\Ubisoft Game Launcher\\ .<\/p>\n

Adem\u00e1s, Uplay, Origin y Battle.net son objetivos del malware<\/em> BetaBot (identificado como Trojan.Win32.Neurevt). Pero este troyano tiene una forma de operar distinta. Si el usuario visita una URL que contiene ciertas palabras claves (cualquier direcci\u00f3n con las palabras \u201cuplay\u201d o \u201corigin,\u201d por ejemplo), el malware<\/em> activa la recopilaci\u00f3n de datos mediante formularios en estas p\u00e1ginas. Es decir, los nombres de usuarios y las contrase\u00f1as de la cuenta introducidos en las p\u00e1ginas van a parar directamente a manos los atacantes.<\/p>\n

En estos tres casos hay algo en com\u00fan: es muy poco probable que el usuario se percate de algo. El troyano no se muestra de ninguna forma en el ordenador, no muestra ninguna ventana con solicitudes, sino que simplemente roba archivos y\/o datos furtivamente.<\/p>\n

C\u00f3mo protegerse de los voraces troyanos en busca de cuentas de jugadores<\/h2>\n

Al igual que todo lo dem\u00e1s, las cuentas de los gamers<\/em> tambi\u00e9n necesitan protecci\u00f3n, una que act\u00fae contra el malware<\/em> ladr\u00f3n. Sigue estos consejos para evitar a los ladrones:<\/p>\n