Los jugadores pronto podrían estar sintiendo el dolor de cripto-ransomware.
Una variante de CryptoLocker en estado salvaje que va tras los archivos de datos asociados de 20 juegos en línea diferentes, bloqueando el contenido descargable en un intento de dirigirse a usuarios más jóvenes.
Investigadores de Bromium dijeron hoy que un sitio web comprometido sin nombre está sirviendo el malware. Las víctimas son redirigidas por una explotación de flash a un sitio de alojamiento del kit de explotacion Angler, y Angler sirve la variante de CryptoLocker.
El sitio web está basado en WordPress y podría haber sido comprometido por cualquiera de las numerosas explotaciones de WP, escribió Vadim Kotov en un aviso para Bromium. Además, la URL donde se encuentra alojado el archivo Flash malicioso cambia constantemente.Kotov dijo que los atacantes renuncian a las redirecciones típicas de iframe y en su lugar utilizan un archivo Flash envuelto en una etiqueta div invisible, probablemente en un intento de evadir la detección. El malware procede a través de una serie de controles para detectar la presencia de máquinas virtuales o antivirus antes de dejar caer una explotación de flash para CVE-2015-0311 o una explotación para Internet Explorer CVE-2013-2551.
El malware se comporta como una infección típica de CryptoLocker, presentando a la víctima con un mensaje que explica que los archivos han sido encriptados, y un rescate debe ser pagados con Bitcoins para que una clave de descifrado sea enviada a la víctima. También hay instrucciones para realizar pagos sobre Tor si el sitio de descifrado no está funcionando.
Más de 50 extensiones de archivo asociadas con los videojuegos son el objetivo de esta variante, además de imágenes, documentos, archivos de iTunes y mucho más. Una serie de juegos de un solo jugador populares como Call of Duty, Minecraft, Half Life 2, Elder Scrolls, Skyrim, Assassins Creed y otros se ven afectados, así como son los juegos online como World of Warcraft, Día Z y League of Legends, así como una serie de EA Sports, Valve y Bethesda. Software de juegos de Steam también están en la mira, dijo Bromium.
El cifrado de todos estos juegos demuestra la evolución de cripto-ransomware como objetivo criminal cibernético para nuevos nichos. Muchos adultos jóvenes pueden no tener los documentos cruciales o código fuente en su máquina (incluso fotografías generalmente son almacenados en Tumblr o Facebook), pero seguramente la mayoría de ellos tienen una cuenta de Steam con algunos juegos y una cuenta de iTunes llenos de música. Los no jugadores también son susceptibles de ser frustrados por estos ataques si pierden sus sus datos personales. Kotov escribióAlgunos de los archivos a los que esta variante busca atacar a menudo son imposible restaurar; estos incluyen los datos de usuario de perfil, partidas guardadas, mapas del juego y mods, Kotov escribió.
El asesor de Bromium entra en más detalles sobre el mando y comunicación de control y mecanismos de cifrado. Los expertos aconsejan a los jugadores a realizar una copia de seguridad de sus archivos en un disco duro externo que no esté conectado a Internet.
"A medida que más categorías de archivos están infectados, un público más amplio se ve afectada", dijo Kotov. "Los atacantes también están mejorando en la incorporación de código de manejo de BitCoins en sus proyectos, lo que no es una buena señal."
Fuente: TP
