Según las estadísticas, muchos usuarios hoy día subestiman las amenazas de programas nocivos y ciberdelincuentes.
- Solo un 15% se dan cuenta de que pueden ser público objetivo de ciberdelincuentes.
- Cada tercero considera que las pérdidas financieras por causa de ataques de los malintencionados son muy poco probables.
- ¡La mayoría absoluta creen que sus datos no le interesan a nadie!
Un segmento aparte de usuarios, el público objetivo de ataques de los creadores de virus, son los aficionados a los juegos de ordenador que tradicionalmente desperdician la protección antivirus para que su PC funcione más rápido. Estos jugadores representan un segmento de público muy variado que tiene diferentes niveles tanto de competencias como de bienestar, y sus «riquezas» pueden ser robadas y vendidas.
¿Quién en el mundo de juegos virtuales puede ser sometido a ataques de ciberdelincuentes?
Condicionalmente, se puede dividir a los jugadores en tres grupos:
- Superfans y profesionales, tienen en su «cofre» bastantes artefactos.
- Gamers ordinarios (el entorno de juegos es para ellos un modo de relajarse, concentrarse para distraerse del trabajo o de problemas). Sus equipos y cuentas servirán para los malintencionados en sus ataques avanzados y extorsiones.
- Niños y adolescentes, que pueden ser tanto fans, como gamers ordinarios, así como niños muy pequeños. En este caso, las víctimas de ciberataques son sus padres, y más concretamente – sus monederos, porque a los jugadores jóvenes se les ofrecen los artefactos robados «gratis».
¡Atención!
Por causa del maximalismo de adolescentes, los niños intentan ignorar las recomendaciones de seguridad por una parte y desean probar lo prohibido - por otra parte. ¡Es por eso que es indispensable usar el Control parental Dr.Web para prevenir la infección y el robo de la información y de los bienes del juego!
Además, ¡la experiencia recabada por los analistas de virus de Doctor Web confirma que las amenazas de virus para los jugadores son reales!
¡Los virus aparecieron en … los juegos!
Parece mentira, pero es verdad: uno de los primeros programas nocivos — ¡y no un virus, sino un troyano! — fue el juego de ordenador Pervading Animal: usando las preguntas con pistas, el programa intentaba averiguar el nombre del animal pensado por el usuario. Fue creado con un error – al añadir nuevas preguntas, el juego modificado se grababa encima de la versión antigua y se copiaba a otros directorios (se proliferaba automáticamente), y, como resultado, en un rato el disco se sobrecargaba. Pervading Animal se difundía con ayuda de sus víctimas y realizaba acciones desconocidas para el usuario, lo que confirma que fue un troyano clásico.
¿Qué les roban a los jugadores?
A los malintencionados les interesan los sitios donde pueden aprovecharse de algo. Sus objetivos son las cuentas y los artefactos de los jugadores — todo lo que les interesa a los gamers y así mismo se puede robarles y vender.
¿Qué les interesa a los jugadores?
- Posibilidad de “powerleveling” rápido – o de compra de las cuentas ya sometidas a “powerleveling”
- Personajes con número máximo de varias «habilidades» y puntos de experiencia, con el arsenal de juego, la armadura, los animales de tiro (a veces, bastante raros), un conjunto de habilidades y profesiones disponibles para un personaje en concreto, otros artefactos y posibilidades de juego. Cuantos más hay, tanto mayor es el precio de la cuenta que en algunos casos puede superar 20 000 RUB.
- Compra, venta y cambio de objetos de juego, a veces — por dinero real.
Los objetivos de los malintencionados son las cuentas y los artefactos de los jugadores — todo lo que puede ser robado y vendido en el mundo de juegos.
Teniendo en cuenta el precio de las cuentas y de artefactos caros sometidos a powerleveling, se puede decir sin exagerar que los jugadores y sus bienes son un objetivo de interés para los malintencionados.
¿Cómo los programas nocivos ayudan a los malintencionados a robar cuentas y artefactos?
Un ejemplo de programa nocivo para robar artefactos
Trojan.SteamLogger.1 sirve para robar los artefactos de valor a los usuarios de juegos Dota 2, Counter-Strike: Global Offensive y Team Fortress 2. El troyano fue detectado por los especialistas del laboratorio antivirus Doctor Web en octubre de 2014.
Una vez ejecutado e iniciado el módulo básico del troyano Trojan.SteamLogger.1, el mismo busca en la memoria del equipo infectado un proceso llamado Steam y comprueba si el usuario ha entrado en su cuenta. Si no, el programa nocivo espera el momento de inicio de sesión del jugador, luego saca la información sobre la cuenta del usuario Steam (existencia de SteamGuard, steam-id, security token) y transmite estos datos a los malintencionados. De respuesta Trojan.SteamLogger.1 recibe un listado de cuentas a las cuales pueden transmitirse los objetos de juego desde la cuenta de la víctima. El programa nocivo intenta robar los objetos de juego más valiosos, las llaves de cofres y los cofres mismos. Trojan.SteamLogger.1 vigila atentamente si el jugador mismo intenta vender algún objeto virtual, y en caso de detectar un intento de este tipo intenta impedirlo, automáticamente cancelando la venta de los artefactos.
Toda la información recabada, el troyano la envía al servidor de los malintencionados, y luego comprueba si está habilitada en la configuración de Steam la autorización automática y, si es así, en una secuencia aparte inicia un keylogger (interceptor de pulsar las teclas del teclado) — los datos recabados usando el mismo se reenvían al servidor de ciberdelincuentes con un intervalo de 15 segundos.
Trojan.SteamLogger.1 se difunde en los foros especializados o en el chat Steam camuflado por una aplicación sobre la venta o el cambio de objetos de juego.
¿Cómo los malintencionados sacan el provecho de las cuentas robadas?
- Venta de la cuenta: en el caso más primitivo, los malintencionados intentan simplemente robar la cuenta robada usando la tienda en Internet que crearon específicamente para hacerlo.
- Robo (adquisición) de artefactos y la venta de los mismos: los malintencionados pueden mover todos los artefactos vinculados a la cuenta a otra cuenta (para la venta posterior, por supuesto).
- Empréstitos fraudulentos: los nuevos titulares de la cuenta robada, aprovechando de la confianza de sus compañeros de la sociedad de juego, pueden prestar el dinero virtual o robar el banco de la sociedad. Como resultado, vemos el renombre dañado para siempre, la prohibición de acceso al servidor de juego y hasta traumas psicológicos (así mismo, en caso de psicología vulnerable del niño, esto puede causar consecuencias muy graves).
- Difusión de enlaces de phishing: los malintencionados la realizan en nombre del titular de la cuenta— por ejemplo, publicando la información sobre la «promoción del desarrollador del juego» que requiere un registro en el sitio web de terceros con el nombre de usuario y contraseña, o haciendo publicidad de programas para incrementar de forma artificial las características de juego del personaje, camuflados por los cuales, se difunden los virus y los troyanos. ¡Y eso también afecta el renombre de forma negativa!
- Extorsión: los bienes del jugador son de valor para el mismo, y los malintencionados se aprovechan de eso, bloqueando el acceso a la cuenta y solicitando un rescate.
¿Cómo infectan los malintencionados los equipos de jugadores?
Uno de los modos de atacar a jugadores es la difusión de los troyanos para infectar.
Los malintencionados usando el sistema de mensajes personales pueden enviar en nombre del titular de la cuenta robada los enlaces a los sitios web de phishing (de estafa). Puede ser, por ejemplo, la información sobre una «promoción del desarrollador del juego», para participar en la cual hay que registrarse en el sitio web tercero con su nombre de usuario y contraseña, o publicidad de programas para mejorar de forma artificial las características del personaje, camuflados por el cual, se difunden los virus y los troyanos. Los niños y los adolescentes confiados que aún no tienen experiencia de detectar a los malintencionados caen en estas trampas fácilmente.
Si uno de sus objetivos son las carteras Steam para comprar juegos, para obtener acceso a la cartera también se usa phishing. A los usuarios del servicio Twitch, por ejemplo, se les envían las ofertas de participar en un sorteo. A las víctimas se les ofrece ganar un arma digital y los artefactos de colección para el shooter CounterStrike: Global Offensive. En cuanto el software nocivo obtenga acceso a la cuenta Steam, el troyano que se instaló en el equipo del gamer, sin que su usuario lo sepa, hace las copias de pantalla, añade nuevos amigos, compra objetos usando los medios de Steam, sin ayuda (!!) envía y recibe las ofertas de venta. Una vez robado el material, el mismo se ofrece en Steam Community Market con un descuento considerable - hasta 35%.
Los malintencionados se aprovechan de que los usuarios habituales de los servicios similares a Twitch están acostumbrados a mensajes similares. También, Twitch llegó a ser una de las plataformas de streaming más populares para los gamers y permite a los aficionados a transmisiones en directo sacar beneficio durante los «streams». Muchos streamers han podido atraer a los aficionados de forma legal, pero algunos aficionados al beneficio fácil han decidido usar los servicios de botnets (redes de equipos infectados) para aumentar de forma artificial el número de suscriptores. Hay también este tipo del negocio informal en el mundo de juegos.
Un ejemplo del programa nocivo destinado para atacar la plataforma Steam
A finales de agosto de 2014, en varios foros de juego empezaron a aparecer los mensajes de usuarios de la plataforma Steam diciendo que de repente desaparecen sus objetos y recursos de valor del juego. El culpable de los «robos virtuales» fue el troyano Trojan.SteamBurglar.1. El programa nocivo se enviaba por los malintencionados a través de mensajes en chat Steam y en foros especializados. A los jugadores se les ofrecía consultar las copias de pantalla de armas virtuales u otros recursos que se ofrecían supuestamente para la venta o intercambio. Estas ofertas Trojan.SteamBurglar.1 las visualizaba al usuario del equipo infectado. Al mismo tiempo, el troyano mismo buscaba en la memoria el proceso steam.exe, extraía del mismo la información sobre los objetos de juego, revelaba los más valioso de los mismos, y luego los robaba para la venta posterior. Los artefactos robados se reenviaban a alguna de las cuentas de los malintencionados:
¡Atención!
¡La posibilidad de crear los servidores de juegos por los jugadores mismos les permite a los malintencionados crear los servidores falsificados y difundir los programas nocivos a través de los mismos!
Hace poco los analistas de virus de Doctor Web se enteraron de que los malintencionados creen las copias nocivas de las páginas de juegos en el catálogo Steam. Las páginas-clones copian completamente el diseño de las páginas de juego auténticas. Al haber seleccionado un juego falsificado, el usuario del software nocivo, sin saberlo, se redirigía a la página para descargar.
El escenario posterior del ataque depende de la funcionalidad que los creadores de virus añadieron al código del troyano. El programa nocivo puede ser, así mismo, el troyano cifrador más peligroso hoy día.
¡Peligro: los cifradores!
Además de los malintencionados que crean los programas nocivos especiales cuyo objetivo son los juegos en concreto, también tienen ganan de aprovecharse otros representantes del «lado oscuro» del mundo virtual. Un problema de seguridad de verdad hoy día son los troyanos codificadores – los programas que cifran los datos del usuario y demandan un rescate por descifrarlos. Un troyano de este tipo puede penetrar en el sistema a través del spam, como un enlace de un mensaje del Messenger, puede descargarse del sitio web o transferirse a través de la unidad extraíble infectada al equipo de juego. La infección misma se hace en segundo plano sin que el usuario lo note y no se detecta hasta que los archivos del equipo se cifren y en la pantalla aparezca un mensaje solicitando un rescate.
Aquí puede consultar más información detallada sobre los cifradores.
Según los datos de analistas de virus Doctor Web, los codificadores tienen una funcionalidad que permite cifrar archivos con extensiones de juegos populares como Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends, World of Tanks.
Recordamos que en la empresa Doctor Web el servicio de descifrar es gratuito solo para los titulares de licencias comerciales Dr.Web. En caso de emergencia, contacte con nuestro servicio de soporte técnico.
Loa juegos populares «al servicio» de los creadores de virus
Los malintencionados ya usan las posibilidades de los juegos mismos para difundir los programas nocivos.
Normalmente, al conectarse al servidor Counter-Strike, el programa cliente descarga del nodo remoto los componentes que no están en el equipo cliente, pero se usan en el juego.
Durante la investigación realizada en el año 2001 por los analistas de la empresa Doctor Web, se confirmó lo siguiente. Inicialmente, el grupo de malintencionados creó un servidor de juegos Counter-Strike que difundía el programa troyano Win32.HLLW.HLProxy (anteriormente, este troyano se difundía entre los aficionados a Counter-Strike como una aplicación «útil», y por eso muchos jugadores mismos lo descargaron e instalaron en su PC).
La tecnología de «difusión» del troyano es bastante interesante: para cualquier conexión al servidor de juegos, al jugador se le visualiza una ventana especial de bienvenida MOTD que puede contener la publicidad del servidor o algunas reglas establecidas por su administración. El contenido de esta ventana es un archivo HTML. El archivo MOTD creado por los malintencionados contiene un componente oculto IFRAME, usando el cual se redirigía a alguno de los servidores que pertenece a los mismos. Desde el cual, a su vez, se descargaba y se instalaba en el equipo de la víctima Win32.HLLW.HLProxy.
El objetivo principal del troyano es iniciar en el equipo del jugador un servidor proxy que emula en un equipo físico varios servidores de juegos Counter-Strike y transmite la información correspondiente a servidores VALVE. Al consultar el servidor de juegos emulado por el troyano, el programa-cliente se movía al servidor de juegos real de los malintencionados, desde el cual el jugador enseguida recibía un troyano Win32.HLLW.HLProxy.
De esta forma, el número de equipos infectados crecía en progresión geométrica.
Además, el troyano tiene la funcionalidad que permite organizar los ataques DDoS a los servidores de juegos y servidores VALVE, gracias a lo cual, la mayor parte de los mismos en varios momentos pudo ser inaccesible. Podemos suponer que uno de los objetivos de los malintencionados es recabar el dinero de los dueños de servidores de juegos por conectar a nuevos jugadores a los mismos, así como los ataques DDoS de servidores de juegos «indeseables».
Difusión de los virus camuflados por juegos para dispositivos en Android
Otro aspecto más aprovechado por los malintencionados es la confianza de los usuarios en los juegos. Así, por ejemplo, Android.Elite.1.origin, que pertenece a la clase de programas vándalos, se difunde camuflado por aplicaciones populares, entre ellas, los juegos.
Al iniciar, Android.Elite.1.origin de forma fraudulenta intenta obtener acceso a funciones del administrador del dispositivo móvil, supuestamente necesarias para finalizar la instalación correcta de la aplicación. En caso de éxito, el troyano enseguida empieza a formatear la tarjeta SD conectada y borra todos los datos que se guardan en la misma. Luego el programa malintencionado espera el inicio de algunas aplicaciones populares para la comunicación (messengers).
Además de formatear la tarjeta SD y bloquear parcialmente los medios de comunicación, Android.Elite.1.origincada 5 segundos envía a todos los contactos localizados en la libreta de contactos del móvil los SMS, y ¡la cuenta de los titulares de dispositivos móviles infectados puede ser vaciada en pocos minutos y hasta segundos!
Los virus como arma de lucha de competición en el mercado de juegos
La competición entre los dueños de servidores de juegos es muy alta, sobre todo si se trata de recursos que forman parte del top del ranking Gametracker. En febrero de 2012 aparecieron varias aplicaciones nocivas destinadas para dañar los servidores de juegos que funcionan con el motor GoldSource (así mismo, Counter-Strike, Half-Life). Una de las mismas, añadida a la base de virus Dr.Web bajo el nombre Flooder.HLDS, es un programa que emula la conexión al servidor del juego de un gran número de jugadores, lo que puede causar que el mismo se cuelga o aparezcan errores de su funcionamiento.
Otro programa nocivo, Flooder.HLDS.2, es capaz de enviar al servidor un paquete de datos determinado que causa el fallo del software del servidor.
Ambas aplicaciones se difundieron ampliamente en los foros vinculados con juegos, y el número de ataques a servidores de juegos usando estos programas durante el mes creció significativamente.
Un hecho curioso: el uso de programas nocivos similares puede dañar a los malintencionados mismos que intentan dañar los servidores de juegos — los especialistas de Doctor Web disponen de copias de la aplicación Flooder.HLDS.2 descargadas de foros de juegos; esta aplicación, al iniciar, infecta el equipo por los programas troyanos BackDoor.DarkNess.47 y Trojan.Wmchange.14. El primero funciona de backdoor y bot DDoS, el segundo troyano suplanta en la memoria del PC infectado los números de carteras en caso de operaciones con divisa electrónica WebMoney para robar dinero de la cuenta del usuario. De esta forma, los malintencionados mismos se convierten en las víctimas de los creadores de virus y someten sus equipos al peligro de infección.
¿Cómo protegerse si Vd. usa los juegos de ordenador?
Doctor Web recomienda:
Antes de comprar una cuenta en el servidor de juegos, lea atentamente el texto del Acuerdo de licencia y cumpla con sus artículos.
- Las reglas de uso de la mayoría de los servidores de juego que debe aceptar el usuario, incluyen los párrafos sobre el rechazo de la administración del servidor de cualquier garantía en caso del robo de la cuenta y sobre la posibilidad de bloquear cualquier cuenta sin explicar las causas, lo que resulta ser una sorpresa para la mayoría de los jugadores.
- Al comprar una cuenta, cumpla con los requisitos de la licencia que impiden la compra de la cuenta.
Doctor Web recomienda:
Al adquirir una cuenta de juego, solicite al vendedor no solo la contraseña de la cuenta y la respuesta a la pregunta secreta necesaria para restaurarla, sino también el acceso completo al correo que tiene vinculada esta cuenta.
НEn la mayoría de los servidores de juegos (incluidos los soportados por Blizzard) la cuenta del usuario está vinculada a su dirección del correo electrónico, a veces – al número de teléfono. En caso de robo de la cuenta, la administración contactara con la persona considerada titular de la cuenta, a través de este correo-e.
Doctor Web recomienda:
Guarde las copias escaneadas de su pasaporte en un dispositivo aparte, no en un equipo de gamers — para que no lo robe el troyano. Esta recomendación se refiere a todos los usuarios, no solo a los gamers. En caso de pérdida de la cuenta, la administración del servidor de juegos puede solicitarle que le presente sus datos de pasaporte, las copias de las páginas del pasaporte escaneadas o su foto en el pasaporte en la mano.
Para justificar la personalidad del titular de la cuenta, el soporte técnico del servidor de juegos puede solicitar que le envíe una foto no solo con el pasaporte en la mano, sino también confirmando la hora de creación de la foto, por ejemplo, en la misma debe aparecer un periódico reciente. Como resultado, la cuenta se le concederá a la persona que pueda proporcionar esa imagen.
Si no puede hacerlo, la cuenta de juego presentada para la venta y robada por los malintencionados puede ser bloqueada. Los malintencionados se quedan con el dinero, y las víctimas — con sus problemas..
Para no ser víctima de un troyano, Doctor Web recomienda
- No siga los enlaces si no está seguro al 100% de que le llevarán al sitio necesario.
- Descargue los juegos solo desde las fuentes conocidas de confianza, y al comprar los artefactos de juegos use solo los «mercados» comprobados.
- No publique en Internet sus datos personales.
- No responda a «preguntas secretas» usadas para identificar en varios servicios, si las hacen personas desconocidas.
- Asegúrese de tener instaladas en su equipo todas las actualizaciones más recientes del SO y del software, no solo del antivirus.
- ¡Use sin falta la versión actual del programa antivirus! Actualícela cada vez antes de entrar en el servidor de juegos.