¿Haces trampa en DayZ y Dying Light? Cuidado porque podrías estar usando un troyano

En la red circula un paquete malicioso, que carga a RedLine— el ladrón más conocido—, un troyano que puede robar desde contraseñas hasta credenciales de navegadores. Puedes encontrarlo en foros clandestinos de piratas informáticos —más o menos económico, recordando que hablamos del malware—. Este paquete viene disfrazado de parches o guías de videojuegos populares.

Lo que puede robar el troyano RedLine:

• Nombres de usuarios
• Contraseñas
• Cookies
• Detalles de tarjetas bancarias
• Datos de llenado automático de navegadores —con base en Chromium y Gecko—
• Datos de criptobilleteras y clientes de servicios de mensajería instantánea y FTP/SSH/VPN
• Archivos con extensiones particulares de los dispositivos

¿Qué más puede hacer el troyano RedLine?

Descargar y ejecutar programas de terceros

Ejecutar comandos en cmd.exe

Abrir vínculos en el navegador predeterminado

¿Cómo se propaga?

Especialmente a través de correos electrónicos no deseados maliciosos, y cargadores de terceros.

Lo que incluye el paquete además del troyano RedLine

El paquete se propaga de manera muy rápida, los usuarios infectados “publican” en sus canales vínculos a un archivo comprimido protegido con una contraseña que tiene el paquete de descripción. 

Estos videos anuncian cosas irresistibles como trucos y parches de videojuegos. Además prometen información sobre cómo piratear juegos y software famosos. Ejemplos de títulos:

APB Reloaded

CrossFire 

DayZ, Dying Light 2

F1 22

Farming Simulator 

Farthest Frontier

FIFA 22

Final Fantasy XIV

Forza 

Lego Star Wars 

Osu! 

Point Blank

Project Zomboid 

Rust 

Sniper Elite

Spider-Man 

Stray 

Thymesia 

VRChat 

Walken

Aunque, se supone que los canales bajo ataque del troyano se dieron de baja de inmediato por infringir las normas de la comunidad.

El paquete original

Es un archivo RAR autoextraíble está compuesto de varios archivos maliciosos, utilidades limpias y una secuencia de comandos que sirve para ejecutar automáticamente el contenido descomprimido.

Al descomprimir, se abren tres archivos ejecutables:

• cool.exe: el ladrón RedLine 
• ***.exe: un minero  
• AutoRun.exe. : un copy automático dirigido al directorio %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, esto asegura un inicio automático y comienza a ejecutar los archivos por lotes

Archivos por lotes que ejecutan otros tres archivos maliciosos respectivamente: 

Estos son los que distribuyen el paquete de inmediato. Uno de ellos permite la ejecución de los archivos maliciosos sin abrir ventanas.

• MakiseKurisu.exe: es un ladrón de contraseñas desarrollado en C# — aunque fue modificado para este uso específico—. Probablemente contiene un depurador y un entorno virtual —para enviar información y robar contraseñas—. Extrae cookies de los navegadores y las almacena en un archivo separado sin enviar los datos robados. Pero, a través de las cookies es que el troyano obtiene acceso a las cuentas de YouTube.   
• download.exe: 35 MB, es un cargador que descarga y sube videos a YouTube. Además, contiene toda la automatización para descomprimirlos.   
• upload.exe.: Es quien sube el video a YouTube. Fue desarrollado por NodeJS, usa la biblioteca de nodos Puppeteer. Proporciona una interfaz de programación de aplicaciones —de alto nivel— y logra administrar Chrome y  Microsoft Edge por medio del protocolo DevTools.  

Cuando el video está en YouTube, upload.exe envía un mensaje a Discord con un vínculo al video.

Te recomendamos: Qué es Hermit y cómo protegerte de este nuevo spyware

La ciberdelincuencia y los gamers

Muchos de estos archivos maliciosos con troyanos están pensados especialmente para gamers, debido a que suelen tener las cuentas vinculadas a sus computadoras. Por ello es que estos sistemas enfocan sus amenazas cibernéticas promocionando juegos o parches y trucos de los mismos. 

Por eso es que debemos tener más precaución con las cosas que descargamos.

Date una vuelta por Discord y no te pierdas las noticias en Google News.