La industria de los videojuegos genera millones y refleja grandes expectativas para el futuro. Este éxito ha llevado a que los ciberdelincuentes centren su atención en ella, no solo apuntando a las empresas, sino también a los propios jugadores.
En este artículo, se presentarán algunos casos recientes que ilustran cómo los actores maliciosos intentan acceder a los datos personales de la comunidad gamer. Se describirá cómo intentan infectar con malware, y se analizará el papel de los infostealers, los mods comprometidos y las estafas de phishing.
Una verdad que no se toma a la ligera.
Para entender el impacto del cibercrimen en la industria de los videojuegos, abundan los ejemplos. En los últimos años, varias empresas de videojuegos han sido blanco de grupos de ransomware. Por ejemplo, la empresa Insomniac Games, conocida por sus juegos de Spider-Man, sufrió una importante filtración de datos a finales de 2023 después de negarse a pagar un rescate al grupo Rhysida. Los datos comprometidos incluían información personal de los desarrolladores y planes futuros de lanzamientos.
No solo las grandes empresas corren peligro; los datos personales de los jugadores también son un objetivo atrayente para los ciberdelincuentes que esconden malware en archivos relacionados con videojuegos. ¿Cómo se produce la infección? Es sencillo: la comunidad gamer a menudo se expone a malware al aventurarse fuera de los canales oficiales hacia sitios de torrents, servidores de Discord e incluso canales de YouTube que ofrecen juegos pirateados y trucos.
Estas áreas grises son donde los ciberdelincuentes despliegan sus tácticas: el anzuelo perfecto para los jugadores desprevenidos es la posibilidad de obtener juegos gratuitos o de obtener ventajas injustas en juegos multijugador. Sin embargo, lo que realmente esperan las víctimas son programas de robo de información que buscan contraseñas de cuentas en línea, carteras virtuales o datos de tarjetas de crédito.
Los infostealers como servicio están muy activos en 2024.
A menudo, los jugadores son blanco de ataques que utilizan malware tipo infostealer. Por ejemplo, se descubrió que RedLine Stealer y Lumma Stealer se escondían en archivos que se hacían pasar por software legítimo o como cracks de videojuegos. También se propagaron a través de videos en canales comprometidos de YouTube que ofrecían cracks y modificaciones para varios juegos. Según los datos de telemetría compartidos por la marca de ciberseguridad ESET, confirmamos que estas dos amenazas estuvieron muy activas durante todo el primer semestre de 2024.
En el caso de RedLine Stealer, parece que este infostealer a sueldo se niega a desaparecer a pesar de la interrupción en 2023. Los datos de ESET indican que, aunque RedLine Stealer ya no recibe actualizaciones, aún se sigue utilizando.
Imagen 1.
Tendencia de detección diaria de RedLine Stealer durante el primer semestre de 2024.
Es relevante notar que la mayoría de los casos se concentran en campañas puntuales específicas en uno o dos países. De hecho, en 2024, los tres picos de datos más altos se observaron el 25 de enero (50% de las detecciones en Alemania), el 24 de abril (87% en España) y el 20 de mayo (91% en Japón). Estos picos fueron tan significativos que las detecciones en el primer semestre de 2024 superaron a las del segundo semestre de 2023, con un aumento del 31%.
Después de que Lumma Stealer aumentara su presencia en el segundo semestre de 2023, las detecciones de esta amenaza, que se enfoca principalmente en las criptomonedas, experimentaron una disminución en el primer semestre de 2024.
Sin embargo, parece que ha habido un cambio en las variantes específicas de amenazas utilizadas por esta familia de malware. Durante el segundo semestre de 2023, ESET detectó principalmente Lumma Stealer como Win/Spy.Agent.PRG; estas detecciones disminuyeron casi por completo en 2024. Por otro lado, a finales de 2023, el malware cambió a una nueva variante, específicamente a Win/Spy.Agent.QLD. En contraste con la variante .PRG, .QLD estaba en crecimiento en el primer semestre de 2024.
Compromiso de los Moderadores: Nadie se Libra.
Incluso los jugadores que normalmente no hacen trampas ni piratean juegos pueden verse expuestos a archivos maliciosos al descargar elementos relacionados con videojuegos, como mods (modificaciones de videojuegos), que podrían estar comprometidos por ciberdelincuentes o contener malware oculto.
Aunque es aconsejable utilizar repositorios de mods reconocidos o plataformas oficiales como Steam, ha habido casos en los que estas opciones no resultaron seguras. Por ejemplo, en julio de 2023, varias cuentas en plataformas de modding de Minecraft fueron comprometidas por ciberdelincuentes que insertaron código de robo de información en proyectos existentes. Más recientemente, en diciembre de 2023, un mod popular para el juego Slay the Spire se utilizó para introducir Epsilon Stealer (detectado por ESET como el troyano JS/PSW.Agent, variantes .CH y .CI) a través del sistema de actualizaciones de Steam.
En estos casos, la mejor defensa es utilizar software de seguridad actualizado que pueda detectar cualquier archivo potencialmente malicioso.
Estafas de phishing: la amenaza de los más chicos.
Además de caer en la trampa de descargar programas maliciosos, los jugadores también están expuestos a estafas de phishing. Según ESET, los juegos ocupan el décimo lugar en la lista de los sitios web de phishing más relevantes en el primer semestre de 2024.
El phishing puede ser especialmente peligroso cuando se dirige a juegos destinados a niños. En un informe publicado el año pasado por Cisco Talos se detallan las diversas maneras en que los ciberdelincuentes utilizan Roblox, una popular plataforma de juegos sandbox entre menores de edad, para obtener información confidencial de los usuarios.
Imagen 2.
Ejemplo de sitio de phishing que utiliza Roblox como anzuelo.
Debido a que Roblox incluye una moneda virtual llamada Robux que se puede adquirir con dinero real, se convierte en un objetivo muy atractivo para los ciberdelincuentes. En nuestros informes de phishing, hemos observado múltiples instancias de falsas páginas de inicio de sesión de Roblox o sitios web que prometen entregar Robux a los usuarios al registrarse.
Fuente web: https://www.welivesecurity.com/es/seguridad-digital/como-cibercriminales-estan-atacando-gamers/
