Boletín de seguridad de Kaspersky

Este año la tendencia predominante es el desarrollo de programas nocivos dirigidos a los usuarios de juegos en línea

  1. La evolución de las amenazas en 2007
  2. Este año la tendencia predominante es el desarrollo de programas nocivos dirigidos a los usuarios de juegos en línea
  3. El spam en 2007
  4. Amenazas para el correo electrónico

Con toda seguridad podemos llamar a 2007 “el año de los fraudes en los mundos en línea” o “año del lucro a costa de los pobres jugadores”.

En un año los programas nocivos dirigidos a los jugadores en línea han dado un gran salto en su desarrollo.

Por su diversidad y grado de difusión estos programas pueden competir con los gusanos y virus capaces de provocar epidemias (ver la lista de los programas más propagados en noviembre http://www.viruslist.com/sp/analysis?pubid=207270959), y por su complejidad se pueden comparar con los “mejores” creadores de redes zombi (ver el esquema de ataques modernos en el informe “Fraude en los juegos en línea. El juego como medio de lucrar” http://www.viruslist.com/sp/analysis?pubid=207270939).

El número de programas nocivos dirigidos exclusivamente a jugadores en línea durante 2007 ha aumentado en un 145% en comparación con el año 2006, lo que supone un crecimiento exponencial y refleja la situación actual del robo de propiedad virtual en línea.



Cantidad total de programas nocivos que roban contraseñas de los juegos en línea por año

Podremos seguir con más detalle la dinámica de crecimiento de los programas nocivos para juegos en línea si los separamos de antemano en TrojWare y VirWare.

TrojWare – troyanos para juegos

Entre todos los programas nocivos que tienen como blanco a los usuarios de juegos en línea, los programas troyanos (programas perjudiciales que tienen solamente la función de robo de contraseñas) conforman el 96%.

En el año 2007 el 69,8% del total de nuevos programas troyanos que roban información confidencial (Trojan-PSW), corresponde a troyanos para juegos. Debemos también mencionar que el porcentaje de troyanos para juegos sigue en constante crecimiento: en enero esta cifra alcanzó el 65%, en septiembre sobrepasó el 75% y a finales de año superó el 80%.

Podemos afirmar, sin temor a equivocarnos, que los delincuentes están más interesados en las contraseñas de los juegos en línea que en las contraseñas de correo electrónico, mensajeros instantáneos o banca en línea.



Porcentaje de troyanos para juegos en línea respecto al total de troyanos que roban datos confidenciales (Trojan-PSW)
(por meses en 2007)

La comparación del código de los troyanos para juegos permite concluir que 2006 y la primera mitad de 2007 fueron un período de prueba de nuevas tecnologías de robo de contraseñas, claves o de cualquier otra información que ayude a los delincuentes a apoderarse de los objetos virtuales ajenos dentro del juego.

En la segunda mitad de 2007 estas tecnologías, pasado su periodo de prueba, estaban a punto para evadir los nuevos parches de los juegos en línea o habían hecho los cambios necesarios para evitar ser detectados por los antivirus.

El rápido aumento de nuevos programas troyanos a principios de año y su disminución a finales de año, junto con la ausencia de novedades tecnológicas nos muestra que en la segunda mitad de 2007 el esquema del robo de personajes de juegos y de propiedad virtual había logrado consolidarse.



Cantidad de programas nocivos (TrojWare)
que roban contraseñas de los juegos en línea (por meses en 2007)

La disminución de nuevos troyanos para juegos durante julio puede estar relacionada con el tradicional período de vacaciones y la baja en la frecuencia de las actualizaciones para clientes de juegos en línea. En estas condiciones los delincuentes no necesitan de una gran cantidad de nuevos troyanos ya que el período de servicio de los antiguos troyanos se alarga.

En cuanto al desarrollo de los troyanos para juegos, el año 2007 se convirtió en el año de la transición de troyanos dirigidos al robo de contraseñas de un juego en concreto a troyanos que robaban contraseñas de una serie de juegos.



Número de troyanos que roban contraseñas de varios juegos al mismo tiempo y troyanos
orientados hacia jugadores de un solo juego (por meses 2007)

Según los resultados del año, la familia más numerosa (por la cantidad de nuevos programas) fue Trojan-PSW.Win32.OnlineGames, cuyos representantes pueden, “capturar” las contraseñas de varios juegos al mismo tiempo (desde dos hasta diez).



Familias más numerosas de troyanos para juegos en 2007

Para entender la popularidad de un juego en línea en particular entre los autores de troyanos, podemos comparar el porcentaje de cada troyano para un juego en línea concreto con el total de todos los troyanos para juegos.



Porcentaje de troyanos para juegos en línea específicos en relación con el total de troyanos para juegos (por meses en 2007)

<

En el gráfico anterior se puede ver que a lo largo de todo el año el juego “Lineage2” ha ido perdiendo popularidad entre los autores de troyanos (Trojan-PSW.win32.Nilage) mientras que el juego Gamania (Trojan-PSW. Win32.magania) ganó popularidad en la segunda parte de 2007 y World of Warcraft conservó su estabilidad logrando la máxima atención en agosto (por lo visto esto está relacionado con blizzcon 8) [http://www.blizzard.com/blizzcon07/highlights.shtml]).

Usando el sistema google.com/trends, podemos valorar la popularidad de los juegos Lineage2 y World of Warcraft entre los jugadores en línea (en los gráficos de abajo se especifica la cantidad de enlaces encontrados en Google y que corresponden a las búsquedas realizadas).



Resultado de la búsqueda “lineage” en google.com/trends
[http://www.google.com/trends?q=lineage&ctab=0]



Resultado de la búsqueda “wow” en google.com/trends
[http://www.google.com/trends?q=wow&ctab=0]

Como podemos ver, a lo largo del año se pierde interés en “Lineage2”, mientras que World of Warcraft no pierde su puesto. De esta manera el interés por los juegos en línea entre los autores de troyanos concuerda con la popularidad de juegos en Internet.

Programas VirWare

Entre todos los programas nocivos que afectan a los jugadores en línea, el porcentaje de programas VirWare (programas nocivos que se autopropagan) es del 4%, pero a esta categoría pertenecen programas nocivos que causaron gran revuelo:

  • Worm.Win32.Viking,
  • Worm.Win32.Fujack,
  • Virus.Win32.Alman,
  • Virus.Win32.Hala,
  • Worm.Win32.AutoRun.

Dentro del flujo total de todos los VirWare, el porcentaje de programas para juegos ha tenido fuertes fluctuaciones a lo largo del año.



Porcentaje de autopropagación de programas nocivos para juegos en línea
en relación al total de programas VirWare (por mes en 2007)

De los datos proporcionados deducimos que en invierno, que es el período de mayor actividad de los jugadores, uno de cada cinco programas nocivos que se autopropagan tiene puesto el ojo en los juegos en línea.

A principios y finales de 2007 los autores de virus se dedicaron asiduamente a crear nuevos programas para juegos WirWare lo que se puede comprobar en el siguiente gráfico:



Cantidad de programas nocivos autopropagables (VirWare)
que roban contraseñas de juegos en línea (por meses en 2007)

En julio se detecta otro pico de actividad de los creadores de nuevos programas VirWare para juegos. Esto está relacionado con la aparición en ese mes de uno de los más efectivos gusanos para juegos, Worm.Win32.AutoRun. (Recordemos que, por el contrario, en julio el número de nuevos troyanos para juegos se redujo bruscamente).

La eficacia de este gusano está determinada por su forma de propagación a través de las unidades flash USB. El gusano “Auto Run” no ha pedido popularidad después de su exitoso debut, lo cual determina en gran manera el pico que alcanzaron los nuevos programas para juegos VinWare en diciembre.

Conclusiones

Los juegos en línea hace mucho que han dejado de ser algo raro y han pasado a formar parte de nuestra vida cotidiana al igual que ICQ, el correo electrónico o el teléfono celular.

El desarrollo en 2007 de los programas nocivos para juegos en línea es consecuencia directa del desarrollo de los propios juegos en línea y de la industria de juego en general.

Actualmente el robo de propiedad virtual y personajes de juegos es ya un negocio hecho y derecho, y si bien a principios de año todavía no existían algoritmos universales para el robo de contraseñas de los juegos en línea, a finales de año ya habían aparecido.

En todo el mundo cada día aparecen 8-9 nuevos gusanos para el robo de contraseñas de juegos en línea y 5-6 troyanos para juegos ¡cada hora!

Además, los programas nocivos de última generación ya pueden compararse con los troyanos multifuncionales que se dedican a la construcción de redes zombi.

Hoy en día existe un mercado negro de objetos virtuales totalmente establecido que se desarrolla de acuerdo con todas las reglas de la economía y los autores de virus siguen con atención su desarrollo.

El gráfico de abajo refleja la cantidad de enlaces encontrados en el sistema Google (google.com/trends) que corresponden a la búsqueda “sell account” (vender contraseña) representado en color azul, “buy acount” (comprar contraseña) en rojo y “hack account” (hackear contraseña) en amarillo.



Resultados en google.com/trends correspondientes a la búsqueda
«sell account, buy account, hack account»
[http://www.google.com/trends?q=sell+account%2C+buy+account%2C+hack+account&ctab=0&geo=all&date=all&sort=0]

Este diagrama permite evaluar el nivel de popularidad que corresponden a estos temas. Considerando que el mayor porcentaje de ofertas compra/venta de contraseñas está vinculado con los juegos en línea, podemos constatar que en el mercado de valores para juegos la demanda supera la oferta. Es evidente que el crecimiento de popularidad de los temas de compra y venta con el tema de robo o captura de contraseñas van casi junto, como se observa en el gráfico a través de los destacados picos correspondientes al verano en las tres curvas, lo que demuestra la criminalización de este mercado.

Debido al aumento de interesados en adquirir personajes de juegos o bienes virtuales, el mercado de valores para juegos continuará desarrollándose. Todo esto significa que es inútil esperar que los autores de virus pierdan su interés en los juegos en línea, es decir, la creación y desarrollo de programas nocivos dirigidos a jugadores en línea continuará. Los autores prestarán más atención a la autodefensa de los programas nocivos para juegos y comenzarán a integrar funciones ya elaboradas de robo de contraseñas en otros programas nocivos, por ejemplo en backdoors.

Este año la tendencia predominante es el desarrollo de programas nocivos dirigidos a los usuarios de juegos en línea

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada