Investigación

Tus credenciales ahora son mías

La evolución del malware para cuentas e inventarios de Steam

 Descargar el informe completo de la investigación (en inglés)

Con sorprendentes ganancias anuales de más de cien millones de dólares, la industria de los videojuegos ha sido comparada con el floreciente negocio de Hollywood, demostrando una y otra vez su fuerte influencia sobre una creciente cantidad de fanáticos. El hecho de que videojuegos muy exitosos coexistan en paz con producciones más pequeñas, independientes, pero igual de divertidas, convierte a las plataformas digitales en un medio cómodo y equitativo para vender nuevos juegos.

Con más de 140 millones de usuarios registrados y más de siete mil juegos para descargar, Steam, la plataforma digital de distribución multiplataforma de Valve, ofrece una amplia gama de opciones a los jugadores. Entre ellas están los últimos juegos, siempre en la nube, y una comunidad creciente de gente con los mismos intereses. La cantidad de usuarios activos registrados en la plataforma Steam aumenta de forma constante. Cada usuario compra contenido con tarjetas de crédito, comparte de forma voluntaria su información personal e intercambia artículos con otros participantes de la red en intercambios dentro del juego o en subastas. Por desgracia, los investigadores de seguridad han dejado de lado las amenazas para juegos al asumir de forma errónea que en ellos no se intercambia nada de valor. Los cibercriminales están aprovechando este desacierto para robar dinero y causar daños reales.

steam_pr

La alegría y diversión terminan cuando secuestran tu cuenta

Los grupos criminales de Europa oriental han estado vigilando el crecimiento de la base de datos de usuarios de Steam y las técnicas y procedimientos de seguridad que la compañía ofrece a los usuarios; esperando con calma el momento más oportuno para atacar. Como en la mayoría de redes sociales, muchos perfiles no reflejan la verdadera identidad de su usuario; esconden detalles personales e información de pagos detrás de una identidad elaborada con mucho cuidado o, como Jung lo describió: “Una especie de máscara diseñada, por una parte, para dejar una impresión en los demás y, por otra, para esconder la verdadera identidad del individuo”. Pero, ¿qué pasa cuando la máscara se desliza por error? ¿Qué sucede cuando tu cuenta y toda la información que almacena se convierte en el botín de algún usuario desconocido? Por desgracia, esta pesadilla se hace realidad para más de 77 mil usuarios cada mes, según las estadísticas de Steam. Sin embargo, calcular el impacto financiero de esta amenaza es más difícil, ya que Steam no tiene obligación alguna de publicar esta información. Existen varios sitios web comunitarios (como SteamSpy y SteamCompanion) para calcular el dinero que has invertido en tu cuenta, pero ninguno guarda registros que ayuden a deducir un valor promedio. Estimamos, en base a contraseñas filtradas, que las credenciales tienen un valor de sólo 15 USD en el mercado negro.

Pero esto sólo ayuda a ingresar a la cuenta de la víctima; lo que los atacantes hacen después puede generar ganancias mayores, dependiendo del usuario.

Tus credenciales ahora son mías

Un malware ladrón de credenciales característico que ostentaba “revolucionar” la industria del robo de ítems de Steam. Su sitio web ha estado desactivado y su cuenta de Twitter está muerta, pero su legado se mantiene con su programa malicioso que se sigue distribuyendo en la red.

Los ataques phishing personalizados y masivos siempre son populares entre los ingenieros sociales de los rincones más oscuros de la red, pero una nueva clase de malware, conocida como “Steam Stealer” (ladrón de credenciales de Steam) es el principal sospechoso de haber robado grandes cantidades de credenciales a cuentas de la plataforma de Valve. El programa fue evolucionando poco a poco a partir de una fuente filtrada en un foro ruso, hasta que demostró a los criminales de todo el mundo su alto nivel de rentabilidad. Con diferentes versiones, características distintivas, actualizaciones gratuitas, manuales de usuarios, asistencia personalizada para su distribución y más, los ladrones de contraseñas han convertido un ambiente de diversión en uno lleno de peligros.

Tus credenciales ahora son mías

Un sitio web clonado casi a la perfección del programa de mensajería Razer Comms que, junto a TeamSpeak, son los utilizados con mayor frecuencia para engañar a los usuarios y que instalen la amenaza.

Dos importantes razones para el crecimiento de este malware son la simplicidad de su operación y su capacidad de difusión. Estos programas ladrones de credenciales (stealers) se ofrecen a cualquier persona que pueda pagarlos, lo que implica que los programadores novatos y personas con limitaciones técnicas que quieren iniciarse en el mundo del cibercrimen tendrán preferencia por este malware.

Tus credenciales ahora son mías

Todo en un solo paquete, listo para usarse y con mucha documentación de asistencia. Cada paquete Steam Stealer ofrece diferentes funcionalidades por un costo base de 15 USD.

Agregar nuevas características es sencillo. Un desarrollador promedio sólo debe seleccionar su lenguaje de programación favorito y conocer lo básico sobre el diseño y protocolo de Steam. Existen muchas APIs y bibliotecas disponibles que se interconectan de forma constante con la plataforma Steam, reduciendo de forma significativa el esfuerzo de sus usuarios. No es raro que los cibercriminales den funciones maliciosas a herramientas legítimas y bibliotecas de código abierto en sus operaciones, aunque en este caso las posibilidades son demasiado tentadoras como para compartirlas con los demás.

Tus credenciales ahora son mías

Un precio inicial de 200 rublos (3 USD) otorga derechos de uso al ladrón de credenciales. Pagando 450 rublos (7 USD) también recibes el código fuente y manual de usuario.

Cada paso del proceso, desde la distribución inicial del programa hasta la obtención de la ganancia por cada infección, se documenta en una de las varias guías que están a la venta en la red. En este modelo empresarial, todo tiene un precio y cada individuo hace lo posible para que su oferta sea lo más atractiva para los clientes potenciales. Ofrecer malware como un servicio no es nada revolucionario. Pero cuando se trata de este tipo de operaciones maliciosas, lo más común es que los precios comiencen en los 500 dólares (tomando como referencia mercados que ofrecen servicios de ransomware).

Tus credenciales ahora son mías

El foco en el mercadeo es evidente en la “industria de los ladrones de credenciales”.

Los Steam Stealers piden un precio muy bajo a los criminales que quieren usar el programa. El código fuente y manual de usuario se incluyen en el paquete por un costo extra, haciendo que esta operación sea a la vez patética y terrorífica. Por supuesto, los precios que mencionamos son los más baratos, pero no sería fácil encontrar estos programas a la venta por más de 30 USD. Con tanta competencia en el mercado, es difícil ganarse la vida como cibercriminal sin tomar riesgos.

Tendencias pasadas y actuales

Al ver cómo los Steam Stealers han evolucionado de ser programas “simples” a amenazas que inundan cada rincón de Internet, la tendencia demuestra que es un negocio en crecimiento.

Antes no había ningún tipo de ofuscación, y a veces se enviaban credenciales FTP o SMTP en texto simple. Poco a poco se introdujeron mejoras en el programa y en el aspecto de ingeniería social: mejoraron las capturas de pantalla y los sitios duplicados, se diversificaron los métodos de distribución y los bots comenzaron a imitar de una forma más creíble el comportamiento humano.

Un resumen de las tendencias pasadas:

  • Uso de ofuscadores para dificultar el análisis y detección.
  • Uso de extensiones de ficheros escondidas por defecto en Windows (archivos de protectores de pantalla ‘screensaver’ falsos).
  • Uso de NetSupport (que ofrece acceso remoto al atacante).
  • Uso de servidores TeamSpeak falsos.
  • Uso de evasores automáticos de Captcha (DeathByCaptcha y otros).
  • Uso de servidores de juegos falsos (el principal es Counter-Strike: Global Offensive).
  • Uso de Pastebin para conseguir el contenido malicioso del Steam Stealer.
  • Uso de sitios de capturas de pantallas falsos que se hacen pasar por Imgur, LightShot y SavePic.
  • Uso de programas de voz falsos que se hacen pasar por TeamSpeak, RazerComms y otros.
  • Uso de servicios para acortar URLs como bit.ly.
  • Uso de Dropbox, Google Docs, Copy.com y otros para alojar el malware.

Las tendencias actuales son las siguientes:

  • Uso de extensiones falsas de Chrome o JavaScript, estafas mediante sitios de apuestas.
  • Uso de sitios falsificados de juegos de azar, entre ellos bots de depósitos falsos.
  • Uso de empaquetadores AutoIT para dificultar el análisis y detección.
  • Uso de RATs (Troyanos de acceso remoto) como NanoCore y DarkComet.

Esta lista puede seguir creciendo, el año 2016 apenas empieza.

Descargar el informe completo de la investigación (PDF en inglés)

Las cifras de la industria Steam Stealing

Las estadísticas que se incluyen en esta sección son del periodo que abarca desde el 1 de enero de 2015 al 1 de enero de 2016 en las familias de Steam Stealers más predominantes. Sin embargo, como se realizan muchas detecciones de forma heurística o con veredictos genéricos diferentes, el problema es mucho mayor de lo que parece y es muy difícil medirlo con exactitud. El porcentaje de usuarios infectados se calcula sólo en países con más de 1.000 detecciones en el periodo especificado (como punto de partida).

Estadísticas de Trojan-Downloader.MSIL.Steamilik

gamers_short_it_6

Geografía de propagación de Trojan-Downloader.MSIL.Steamilik

gamers_short_sp_7

% de usuario infectados por Trojan-Downloader.MSIL.Steamilik

Los troyanos Downloaders pueden descargar e instalar nuevas versiones de programas maliciosos en los equipos de los usuarios – incluyendo otros troyanos y los molestos programas publicitarios. Este proceso de infección en dos etapas permite a los criminales modular sus componentes y crear un descargador inicial con funcionalidad reducida que puede desplegar los contenidos maliciosos cuando ha confirmado que su ambiente lo permite.

Estadísticas de Trojan.MSIL.Steamilik

gamers_short_it_8

Trojan.MSIL.Steamilik geography

gamers_short_sp_9

% de usuarios infectados por Trojan.MSIL.Steamilik

Esta amplia categoría de troyanos incluye todos los programas maliciosos que realizan acciones que el usuario no ha autorizado. Hay que notar la sub-categoría MSIL que representa a .NET. El aumento de los troyanos y del uso del marco de desarrollo de Microsoft van de la mano, facilitando el trabajo a los desarrolladores (hasta el de los que no se dedican a hacer el bien).

Estadísticas de Trojan-PSW.MSIL.Steam

gamers_short_it_10

Geografía de propagación de Trojan-PSW.MSIL.Steam

gamers_short_sp_11

% de usuarios infectados por Trojan-PSW.MSIL.Steam

Los programas Trojan-PSW están diseñados para robar la información de la cuenta de los usuarios, como nombres de usuario y contraseñas. El PSW, que significa Programa para Robar Contraseñas (Password Stealing Ware), busca archivos específicos cuando se lo ejecuta para conseguir datos confidenciales o del registro. Si los encuentra, los envía a su “amo”. Puede usar correos electrónicos, FTP, la red (incluyendo datos en una solicitud) y otros métodos para transferir los datos robados. Brasil nos sorprendió al conseguir el segundo puesto en esta categoría de malware después de la Federación Rusa. Sin duda alguna, el ecosistema del malware en Latinoamérica está creciendo, y los videojuegos no se están pasando por alto.

gamers_short_sp_12

Tipo de ofuscador usado

Dado el amplio rango de ofuscadores que usan para proteger su propiedad intelectual y la disminución en la detección de las soluciones de seguridad, los cibercriminales han optado por proyectos de código abierto como “ConfuserEx” (sucesor del infame proyecto Confuser) o por ofuscadores disponibles en el marco .NET como SmartAssembly. Para calcular las estadísticas previas relacionadas con ofuscadores, se usó un grupo de más de 1.200 ejemplares recolectados de diferentes formas. Todos los valores hash de esta colección se subirán a nuestro repositorio IOC disponible para el público.

Contramedidas de Valve

Valve ha reconocido el problema, pero aunque ha implementado notables mejoras en sus medidas de protección, los Steam Stealers siguen descontrolados. Existen muchas medidas de seguridad que se han adoptado en toda la red, y otras que puedes configurar con facilidad en tu cuenta:

  • Autentificación de dos factores por correo electrónico o mediante la aplicación para móviles Steam Guard.
  • Bloqueo de URLs mediante Steam.
  • Censura de sobrenombres (Steam/Valve).
  • Introducción de Captchas en los intercambios de ítemsy control de su evasiónIntroducción de cuentas de acceso limitado
  • Confirmaciones de correo electrónico de Steam cuando se utilice el mercado e ítems de intercambio.
  • Verificación de correos electrónicos.
  • Cuentas ‘libres de abuso’ disponibles por 5 USD (sus características se explican en la descripción de las cuentas de acceso limitado)
  • Información (registro) de las personas con las que realizas intercambios.
  • El mercado se bloquea cuando inicias sesión desde nuevos dispositivos, cambias la contraseña de tu perfil, etc.Confirmaciones de intercambios por teléfono móvil.
  • Recuperación de acceso a cuentas de Steam por teléfono.
  • Chat restringido para los usuarios con los que no compartes amigos, servidores de juegos o relaciones en el chat multijugador.
  • Bloqueo más estricto de los sitios de spam y fraudulentos.
  • Retardo de la transacción (15 días).

En cuanto a medidas preventivas, recomendamos que los usuarios se familiaricen con las actualizaciones de Steam y las nuevas características de seguridad. Como mínimo, es importante que activen el sistema de autentificación de dos factores mediante Steam Guard. Recuerda que la amenaza se propaga en gran parte (pero no de forma exclusiva) mediante sitios falsos clonados que distribuyen el malware o usando mensajes de ingeniería social dirigidos a la víctima. Siempre mantén actualizada tu solución de seguridad y nunca la desactives; la mayoría de los productos actuales tienen un “modo de juego” que te deja disfrutarlos sin recibir notificaciones hasta que hayas terminado de jugar. Hemos hecho una lista de todas las opciones de protección que Steam ofrece a sus usuarios. Recuerda que los cibercriminales buscan muchas víctimas, y si una les da mucho trabajo pasarán a la siguiente. Sigue estas recomendaciones y evitarás ser una presa fácil.

Y si crees que el estado actual de los Steam Stealers es malo, imagina lo que pasará cuando Gaben lance Half Life 3.

Tus credenciales ahora son mías

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada