En una industria estimada en más de cien mil millones de dólares, los videojuegos no son sólo un gran negocio para los desarrolladores y fabricantes, sino también para los ciberdelincuentes. Ladrones de credenciales de Steam están constantemente evolucionando un tipo de malware que es responsable por los secuestros a las cuentas de usuarios de la popular plataforma de juego Steam.
El objetivo del malware es robar artículos utilizados en los juegos en línea y las credenciales de las cuentas de usuarios para después revenderlas en el mercado negro. El malware es distribuido a cibercriminales como un modelo de negocio malware-como-servicio por un bajo precio inicial de hasta $30 dólares.
Steam es una de las plataformas más populares de distribución para sistemas operativos múltiples. Propiedad de Valve, cuenta con más de 100 millones de usuarios registrados y miles de juegos disponibles para su descarga a nivel mundial. Su popularidad la convierte en un objetivo grande y atractivo para bandas de delincuentes, quienes venden las credenciales de usuarios de Steam por $15 dólares en el mercado negro. Según datos oficiales recién dados a conocer por Steam, 77,000 cuentas de Steam son secuestradas y saqueadas cada mes.
De acuerdo a Santiago Pontiroli, Investigador de Seguridad en Kaspersky Lab y a su colega independiente Bart P., una nueva forma de malware utilizada por los ladrones de credenciales de Steam es el principal sospechoso del robo de numerosas cuentas de usuarios de la plataforma insignia de Valve. El dúo cree que el malware fue desarrollado originalmente por cibercriminales de habla Rusa ya que han encontrado varios rastros de este idioma en diversos foros de malware clandestinos.
Los ladrones de credenciales de Steam trabajan en un modo de negocios conocido usualmente como malware-como-servicio: el malware está a la venta en varias versiones, con características distintas, actualizaciones gratuitas, manuales de usuario, asesoramiento personalizado para su distribución y mucho más. Cuando se trata de este tipo de campañas malintencionadas el precio de partida habitual para las “soluciones” está en el rango de $500 dólares. Sin embargo, los ladrones de credenciales de Steam ofrecen el malware a un precio ridículamente bajo, ya que se vende comúnmente por no más de $30 dólares. Esto hace que el malware sea altamente atractivo para delincuentes aspirantes alrededor del mundo.
La propagación del malware para juegos se logra principalmente, aunque no de manera exclusiva, ya sea a través de sitios web falsos clonados que distribuyen el malware, o por medio de un enfoque de ingeniería social con mensajes directos a la víctima.
Una vez que el malware está en el sistema del usuario roba todo el conjunto de archivos de configuración de Steam. Hecho esto, localiza el archivo KeyValue, específico para Steam, que contiene las credenciales de usuario, así como la información que mantiene la sesión. A la hora que los cibercriminales hayan obtenido esta información, podrán controlar la cuenta del usuario.
El robo de cuentas de jugadores solía ser una forma rápida para que los script kiddies hicieran una ganancia rápida, mediante su venta en los foros clandestinos. Sin embargo, ahora, los delincuentes se han dado cuenta del verdadero valor de mercado de estas cuentas. Las oportunidades ahora se encuentran en el robo y venta de artículos de juego de usuarios que pueden tener un valor de miles de dólares. Cibercriminales organizados simplemente no quieren dejar ese dinero sobre la mesa.
Expertos de Kaspersky Lab han descubierto cerca de 1,200 muestras de diferentes ladrones de credenciales de Steam que han estado atacando a decenas de miles de usuarios en todo el mundo, especialmente en Rusia y otros países de Europa del Este, donde la plataforma Steam es extremadamente popular.
“La comunidad de jugadores se ha convertido en un objetivo muy deseable para los ciberdelincuentes. Una clara evolución de las técnicas utilizadas para la infección y propagación, así como la creciente complejidad del propio programa malicioso, ha llevado a un aumento de este tipo de actividad. Con la adición de consolas de juegos que añaden componentes más potentes y el Internet de las Cosas a nuestra puerta, este escenario parece un juego que va a seguir aumentando y se hará más complejo. En Kaspersky Lab esperamos que nuestra investigación se convierta en una investigación permanente, aportando un equilibrio tan necesario para el ecosistema de los juegos. La seguridad no debe ser algo en lo que debas pensar después, sino en una fase temprana del proceso de desarrollo. Creemos que la cooperación dentro de la industria puede ayudar a mejorar la situación“, comenta Santiago Pontiroli del Equipo de Análisis e Investigación Global de Kaspersky Lab.
Kaspersky Lab detecta grupos de Troyanos ladrones de credenciales de Steam como: Trojan.Downloader.Msil.Steamilik, Trojan.Msil.Steamilik, Trojan-psw.Msil.Steam, entre otros. Los objetivos de estos Troyanos se propagan por todo el mundo, principalmente en países como Rusia, Estados Unidos, Europa (Francia, Alemania), India y Brasil.
Más información en Securelist.com.