En la red circula un paquete malicioso, que carga a RedLine— el ladrón más conocido—, un troyano que puede robar desde contraseñas hasta credenciales de navegadores. Puedes encontrarlo en foros clandestinos de piratas informáticos —más o menos económico, recordando que hablamos del malware—. Este paquete viene disfrazado de parches o guías de videojuegos populares.
Lo que puede robar el troyano RedLine:
- Nombres de usuarios
- Contraseñas
- Cookies
- Detalles de tarjetas bancarias
- Datos de llenado automático de navegadores —con base en Chromium y Gecko—
- Datos de criptobilleteras y clientes de servicios de mensajería instantánea y FTP/SSH/VPN
- Archivos con extensiones particulares de los dispositivos
¿Qué más puede hacer el troyano RedLine?
Descargar y ejecutar programas de terceros
Ejecutar comandos en cmd.exe
Abrir vínculos en el navegador predeterminado
¿Cómo se propaga?
Especialmente a través de correos electrónicos no deseados maliciosos, y cargadores de terceros.
Lo que incluye el paquete además del troyano RedLine
El paquete se propaga de manera muy rápida, los usuarios infectados “publican” en sus canales vínculos a un archivo comprimido protegido con una contraseña que tiene el paquete de descripción.
Estos videos anuncian cosas irresistibles como trucos y parches de videojuegos. Además prometen información sobre cómo piratear juegos y software famosos. Ejemplos de títulos:
APB Reloaded
CrossFire
DayZ, Dying Light 2
F1 22
Farming Simulator
Farthest Frontier
FIFA 22
Final Fantasy XIV
Forza
Lego Star Wars
Osu!
Point Blank
Project Zomboid
Rust
Sniper Elite
Spider-Man
Stray
Thymesia
VRChat
Walken
Aunque, se supone que los canales bajo ataque del troyano se dieron de baja de inmediato por infringir las normas de la comunidad.
El paquete original
Es un archivo RAR autoextraíble está compuesto de varios archivos maliciosos, utilidades limpias y una secuencia de comandos que sirve para ejecutar automáticamente el contenido descomprimido.
Al descomprimir, se abren tres archivos ejecutables:
- cool.exe: el ladrón RedLine
- ***.exe: un minero
- AutoRun.exe. : un copy automático dirigido al directorio %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, esto asegura un inicio automático y comienza a ejecutar los archivos por lotes
Archivos por lotes que ejecutan otros tres archivos maliciosos respectivamente:
Estos son los que distribuyen el paquete de inmediato. Uno de ellos permite la ejecución de los archivos maliciosos sin abrir ventanas.
- MakiseKurisu.exe: es un ladrón de contraseñas desarrollado en C# — aunque fue modificado para este uso específico—. Probablemente contiene un depurador y un entorno virtual —para enviar información y robar contraseñas—. Extrae cookies de los navegadores y las almacena en un archivo separado sin enviar los datos robados. Pero, a través de las cookies es que el troyano obtiene acceso a las cuentas de YouTube.
- download.exe: 35 MB, es un cargador que descarga y sube videos a YouTube. Además, contiene toda la automatización para descomprimirlos.
- upload.exe.: Es quien sube el video a YouTube. Fue desarrollado por NodeJS, usa la biblioteca de nodos Puppeteer. Proporciona una interfaz de programación de aplicaciones —de alto nivel— y logra administrar Chrome y Microsoft Edge por medio del protocolo DevTools.
Cuando el video está en YouTube, upload.exe envía un mensaje a Discord con un vínculo al video.
Te recomendamos: Qué es Hermit y cómo protegerte de este nuevo spyware
La ciberdelincuencia y los gamers
Muchos de estos archivos maliciosos con troyanos están pensados especialmente para gamers, debido a que suelen tener las cuentas vinculadas a sus computadoras. Por ello es que estos sistemas enfocan sus amenazas cibernéticas promocionando juegos o parches y trucos de los mismos.
Por eso es que debemos tener más precaución con las cosas que descargamos.
Date una vuelta por Discord y no te pierdas las noticias en Google News.