Una nueva campaña Windows se oculta en juegos de PC pirateados y en instaladores modificados de franquicias como Far Cry, Need for Speed, FIFA y Assassin’s Creed.
Los investigadores calculan que se han infectado más de 400 000 dispositivos en todo el mundo, de los cuales unos 30 000 pertenecen a usuarios de Estados Unidos.
El método de infección es sencillo y eficaz. Se engaña a los usuarios para que instalen un juego gratuito totalmente funcional. Aunque el juego pirateado y reempaquetado parece funcionar, el malware se instala de forma silenciosa en segundo plano.
Esta variante se conoce como «RenEngine loader» y, en ocasiones, se la denomina Ren’Py, ya que parte del código malicioso está incrustado en un lanzador legítimo de Ren’Py que se utiliza para ejecutar algunos juegos de novela visual. Cuando se ejecuta el lanzador, descomprime los archivos del juego e inicia de forma encubierta la cadena de infección.
Ren’Py es un motor de novelas visuales legítimo y de código abierto que utilizan los desarrolladores para crear juegos basados en la trama con texto, imágenes, sonido y opciones interactivas. El malware en este caso no es Ren’Py en sí mismo. Los atacantes están utilizando indebidamente el motor o su lanzador como método de distribución para ocultar código malicioso dentro de las instalaciones de juegos pirateados.
En la práctica, el principal vector de infección es la piratería de software. Las víctimas descargan juegos pirateados o instaladores reempaquetados de sitios web no oficiales y, a continuación, ejecutan lo que parece un ejecutable normal del juego o un archivo de instalación. En realidad, lo que hacen es infectar su ordenador con un cargador de malware.
En el momento de redactar este artículo, este cargador está intentando distribuir un programa de robo de información llamado ARC, capaz de sustraer contraseñas guardadas en el navegador, cookies, carteras de criptomonedas, datos de autocompletar, información del sistema y el contenido del portapapeles.
Pero también hemos observado la distribución de otras cargas maliciosas, como el ladrón de datos Rhadamanthys, el troyano de acceso remoto asíncrono (RAT) y Backdoor.XWorm, que pueden ampliar los daños desde el robo de credenciales hasta el control remoto total del equipo. Esto puede traducirse en la apropiación de cuentas, el fraude financiero, el robo de criptomonedas y un compromiso aún mayor de los datos personales o laborales.
Lo peor de todo es que es posible que el usuario no se dé cuenta de que está infectado hasta que le hayan robado los nombres de usuario y las contraseñas o hasta que el ordenador empiece a funcionar de forma extraña.
Cómo mantenerse seguro
La lección más importante que hay que aprender aquí es que el software «gratuito» pirateado suele ser un medio para distribuir malware, no una ganga. Una vez que un cargador como este se instala en el equipo, el objetivo real suele ser robar credenciales o instalar una carga útil secundaria que sea más persistente y más dañina.
Otros consejos generales para mantener la seguridad:
- No descargues instaladores de fuentes no oficiales.
- Utiliza una protección antimalware actualizada en tiempo real para bloquear los programas de carga.
- Mantén tu software actualizado, especialmente los parches de Microsoft y otros programas relacionados con la seguridad.
Si crees que tu ordenador está infectado y quieres asegurarte, sigue las instrucciones que se indican aquí. Los fantásticos voluntarios de nuestros foros te ayudarán a limpiar tu equipo.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
