Hace años que los delincuentes tienen en su punto de mira a aquellos usuarios que dedican parte de su tiempo de ocio a jugar a videojuegos. Representan un objetivo apetecible por varios motivos y no es extraño ver campañas de propagación de malware orientados específicamente a este sector de usuarios. Un claro ejemplo lo tenemos en el caso que vamos a analizar y que utiliza servidores del popular Counter Strike 1.6 para propagar una amenaza.
Servidores de Counter Strike 1.6 comprometidos
Para ponernos en antecedentes, Counter Strike es un juego de disparos en primera persona muy popular entre la comunidad de videojugadores, y la versión 1.6 del mismo es una de las más aclamadas. Esta versión sigue contando con una importante comunidad de jugadores a pesar de tener casi 20 años a sus espaldas y de no estar soportada desde hace tiempo por el desarrollador.
Por ese motivo, los jugadores suelen alquilar servidores para alojar sus partidas y descargar los instaladores del juego necesarios. Además, los proveedores de estos servidores también ofrecen otros servicios como la promoción de un servidor en concreto para así incrementar su popularidad y permitir que reciba más visitas.
Sin embargo, una investigación reciente realizada por especialistas de Dr. Web ha descubierto como se están utilizando vulnerabilidades en el cliente del juego, servidores maliciosos y el troyano Belonard para la adquisición de nuevas víctimas a su botnet. Su campaña maliciosa ha tenido tanto éxito que en su pico de actividad ha llegado a controlar un 39% de los servidores de Counter Strike 1.6 existentes (alrededor de 5000 según los investigadores).
Información sobre el troyano Belonard
La infección de un sistema y su inclusión en la botnet se produce mediante la propagación de clientes del juego 1.6 previamente infectados que al conectarse a los servidores maliciosos controlados por los atacantes consiguen infectar a sus víctimas con el troyano. También es posible comprometer a sus víctimas mediante vulnerabilidades que permiten la ejecución remota de comandos. Al no estar soportado por el desarrollador desde hace tiempo el instalador de Counter Strike 1.6, muchos usuarios terminan cayendo en la trampa e instalando el cliente malicioso. A continuación se muestra un gráfico explicando el funcionamiento del ataque:
Cuando el troyano consigue infectar a sus víctimas este procede a reemplazar ciertos archivos en el cliente del juego. Seguidamente, el sistema infectado empezará a promocionar el sitio web controlado por los atacantes donde se encuentran los instaladores infectados del juego, además de promover también los servidores falsos. Estos son utilizados para redirigir a las víctimas a otros maliciosos donde se utiliza la vulnerabilidad RCE para infectar a sus víctimas con el troyano Belonard.
La forma en la que se promocionan los servidores de descarga de los instaladores de Counter Strike 1.6 maliciosos no deja de ser curiosa ya que cuando un usuario infectado comience una partida, su nombre de usuario pasará a ser la dirección de la web desde donde se descargan estos instaladores. También se producen cambios en el menú del juego, donde se observa enlaces a una comunidad de CS 1.6 alojada en la red social rusa VKontakte con más de 11.500 suscriptores según los investigadores.
Gracias a esta investigación se han podido desactivar los dominios que estaban siendo utilizados por los delincuentes para redirigir a los usuarios a los falsos servidores de juego, y se ha evitado así que se infectasen nuevas víctimas. Sin embargo, si lo que se desea es impedir que los delincuentes vuelvan a crear una botnet similar es necesario parchear las vulnerabilidades que existen en el cliente del juego, algo poco probable puesto que su desarrollador lo abandonó hace tiempo.
Conclusión
Esta investigación demuestra que los delincuentes siguen teniendo especial interés en aprovechar vulnerabilidades en juegos para conseguir su objetivo. Y como los videojuegos son una de las formas de ocio más extendida en la actualidad no es de extrañar que estén en el punto de mira de varias campañas delictivas y, por tanto, no debemos bajar la guardia aunque seamos jugadores ocasionales o dediquemos un importante número de horas al ocio electrónico.