En las últimas semanas hemos visto que las amenazas que tienen como objetivo al juego de moda, Fortnite Battle Royale, se multiplicaban. A finales de mayo ya avisábamos de que los usuarios que jugaban al Fortnite estaban en el punto de mira de los delincuentes y detallamos algunas de las técnicas utilizadas para infectarlos. Estas técnicas se han ido perfeccionando con el paso de las semanas y hemos visto cómo los delincuentes se han aprovechado incluso de la esperada versión para dispositivos Android para engañar a los usuarios.
Nuevo ataque detectado
El incidente de seguridad más reciente del que hemos tenido constancia fue descubierto por la empresa Rainway, dedicada a proporcionar software de streaming para que los usuarios puedan ejecutar sus videojuegos favoritos desde un ordenador potente a otros dispositivos como portátiles de prestaciones limitadas o tablets y smartphones.
Responsables de esta empresa empezaron a recibir el pasado 26 de junio cientos de miles de informes de error en su plataforma, errores que estaban relacionados en los intentos de llamada relacionadas con plataformas de anuncios. La aplicación Rainway no permite anuncios, por lo que este comportamiento hizo sonar todas las alarmas, detectando en el proceso una campaña de infección que afectaba a decenas de miles de usuarios.
Conexiones a plataformas de anuncios realizadas por usuarios de Rainway – Fuente: Rainway
Pensando que su plataforma se había visto comprometida, los responsables de Rainway empezaron a investigar cómo funcionaba este adware y qué usuarios estaban infectados. Tras varias horas descubrieron un punto en común que tenían los usuarios infectados: todos ellos jugaban a Fortnite.
Buscando el origen
Viendo el éxito que está teniendo el juego no era algo extraño que muchos de los afectados lo tuvieran instalado, pero sí que resultaba muy llamativo que todos los afectados jugaran al mismo juego. Así las cosas, se optó por buscar el posible origen de la infección, encontrando en el proceso varías guías en canales de Youtube que ofrecían supuestos hacks para el juego que permitirían a los jugadores hacer trampas y así obtener ventajas respecto a sus rivales.
Obviamente, esto solo era el cebo utilizado para conseguir que miles de usuarios mordieran el anzuelo y descargaran aplicaciones maliciosas. La investigación siguió su curso descargando y revisando cientos de estas aplicaciones fraudulentas hasta encontrar una que coincidiese con los mensajes de error que estaban recibiendo en su plataforma de streaming al intentar conectarse a los servicios de publicidad.
Videos en Youtube promocionando herramientas fraudulentas – Fuente: Rainway
La aplicación responsable de esta infección había sido descargada alrededor de 78.000 veces, y prometía a los jugadores ventajas tales como activar el autoapuntado a sus rivales o la obtención de pavos (la moneda usada en el juego) sin usar dinero real para adquirirlos. Tras ejecutarla en una máquina virtual, los investigadores se dieron cuenta de que esta aplicación instalaba un certificado raíz en el sistema infectado y cambiaba la configuración de Windows para que todo el tráfico pasase a través de él. De esta forma se conseguía realizar un ataque Man in the middle para monitorizar todas las conexiones que el usuario realizase en sus sistema.
Con este sencillo truco, el adware conseguía que todos los sistemas de los usuarios infectados añadiesen peticiones para que se mostrasen anuncios desde plataformas como Adtelligent y SpringServe cada vez que se intentaba abrir una nueva página web. Tras ponerse en contacto con estas plataformas de publicidad, la primera de ellas no ha dado señales de vida, pero la segunda ha identificado a los creadores de esta campaña de adware y ya los ha retirado de su plataforma
Por su parte, Rainway ha avisado a todos los usuarios de su plataforma afectados, y ha mejorado la seguridad de su software para ayudar a mitigar posibles ataques similares. El número de informes detectado durante este incidente ascendió a 381.000, cifra nada despreciable y que habrá reportado unos beneficios interesantes a los delincuentes detrás de esta campaña de propagación de adware.
Conclusión
Huelga decir que la descarga de aplicaciones no oficiales para obtener ventajas en juegos como Fortnite no es nada recomendable. Lo más probable es que terminemos infectando nuestro sistema, como ya hemos comprobado en varias ocasiones. Esta tarea de concienciación se ha de hacer también desde las empresas que, como Epic Games, tienen a millones de usuarios disfrutando de sus juegos, alertándoles de las posibles amenazas o estafas a las que están expuestos y, sobre todo, cómo evitarlas.