Cibercriminales aprovechan lanzamiento de Crysis 3 para desarrollar malware

Cibercriminales al acecho de los fanáticos de Crysis 3. Investigaciones del laboratorio Eset Latinoamérica, indican cómo los cibercriminales han desarrollado falsos crack para el videojuego Crysis 3, del cual presentamos un extracto.

LOS FALSOS CRACK

De acuerdo a investigaciones del Laboratorio de ESET Latinoamérica, se ha descubierto la publicación de falsos cracks (parches que permiten modificar el software original para, por ejemplo, ser utilizado sin licenciamiento) del programa cuyo objetivo es infectar al equipo y abrir una puerta trasera a la espera de que el atacante envíe comandos remotos. El sistema infectado puede ser utilizado por los cibercriminales para descargar nuevas variantes de la amenaza, lanzar ataques DoS en contra de otros equipos, registrar lo que teclea el usuario (keylogger), captura de la cámara web, entre otras operaciones.

Los falsos cracks han sido desarrollados como archivos de gran tamaño que van desde los 7 MB hasta los 33 MB. Es probable que esto se deba a que, frente a un supuesto archivo de bajo peso, algunas personas sospecharían que se trata de algo malicioso o falso.  También a los fines de sumar credibilidad al engaño, el icono de la amenaza es otro aspecto que los atacantes suelen considerar a la hora de propagar programas falsos. En este caso, los iconos son idénticos a los del ejecutable del juego original. En otras oportunidades, incluso recurren a la creación de uno nuevo en base al diseño del videojuego. Por otro lado, muchas de estas amenazas muestran al momento de ejecutarse, errores falsos que le informan al usuario que el juego no ha podido ser “crackeado” o incluso, copian el crack “funcional” mientras realizan acciones maliciosas- como el caso del malware que afectó a usuarios del juego Prototype 2.

INTERIOR DE LOS FALSOS CRACK

El falso crack de Crysis 3 viene en el interior de un ZIP o RAR cuyo nombre suele ser “Crysis 3 crack” o similar. Dentro del archivo comprimido es posible encontrar tanto el ejecutable malicioso como un fichero de texto que muestra las supuestas instrucciones y la descripción del juego.

Si la víctima ejecuta este supuesto archivo (Win32/Ainslot), procede a copiarse en la carpeta temporal de ese usuario de Windows como biocredprov.exe. Posteriormente, muestra dos mensajes falsos de error. El primero indica que el archivo “Activation.dll” no ha podido ser cargado y el segundo menciona que la computadora no cuenta con la memoria suficiente.

Luego, el código malicioso abre una puerta trasera (backdoor) en la computadora infectada y espera a que un atacante envíe comandos remotos. La lista completa de acciones maliciosas puede ser consultada en la descripción de Win32/Ainslot disponible en Virus Radar. En los cuatro casos analizados, tanto el tamaño como el icono son adecuados al contexto. Pese a todos los detalles, de las cuatro amenazas analizadas, solo una incluye información relacionada al juego dentro de las propiedades del ejecutable.

Como se puede observar, los cibercriminales se aprovechan de esta situación para conseguir nuevas víctimas y de ese modo, obtener ganancias ilícitas.

André Goujon
Especialista de Awareness & Research

http://blogs.eset-la.com/laboratorio/2013/02/21/lanza-crysis-3-ya-aparece-falso-crack-propaga-malware/

-------------------------------------

ENLÍNEAPUNTOCOM   es un programa que se trasmite por RPP Noticias los sábados desde las 5:00 pm y los domingos a partir de las 10:00 pm con la conducción de Julio Santos, José Fuertes y la colaboración de Mario Chilo.