Hoy comienza la feria de videojuegos gamescom en Alemania y es un buen momento para hablar de amenazas que apuntan a gamers.
Investigadores de ESET han descubierto al sigiloso malware Joao, una amenaza que apunta a gamers de todo el mundo. Se propaga a través de juegos de Aeria comprometidos que se ofrecen en sitios web no oficiales, y es un malware modular que puede descargar e instalar virtualmente cualquier otro código malicioso en la computadora de la víctima.
Para propagarlo, los atacantes se aprovecharon de videojuegos de rol multijugador masivos en línea (MMORPG) publicados originalmente por Aeria Games. Al momento de escribir este artículo, el downloader de Joao se distribuía a través del MMORPG de estilo animé Grand Fantasia, disponible en el sitio gf.ignitgames[.]to.
Las soluciones de ESET bloquean el sitio que sirve a Joao y desde la compañía ya se informó a Aeria Games sobre este tema.
Los sistemas de ESET han detectado al malware Joao en todo el mundo, pero, como puedes ver en el siguiente mapa, las detecciones en México y Sudamérica son altas.
Nuestra investigación demostró que varios otros juegos de Aeria han sido aprovechados de la misma manera anteriormente, aunque los sitios no oficiales en los que se publicaban ya están inactivos o se han eliminado las descargas maliciosas.
¿Cómo funciona el malware Joao?
Los juegos afectados fueron modificados para ejecutar el componente principal de Joao, una librería maliciosa llamada mskdbe.dll y detectada por ESET como Win32/Joao.A. Cuando los usuarios ejecutan el juego, Joao también se ejecuta.
En ese momento, su downloader envía información básica sobre el equipo infectado a los atacantes: nombre del dispositivo, versión del sistema operativo y datos sobre privilegios de usuarios. Entre tanto, las operaciones del malware continúan de manera silenciosa e inadvertida, y dado que el juego funciona tal como se supone que lo haga, el usuario no nota nada sospechoso relativo a la infección.
La única diferencia visible con un juego legítimo de Aeria es un archivo .dll extra en la carpeta de instalación:
Una vez que se estableció la comunicación con el servidor de los atacantes, la lógica desde el lado del servidor decide si se enviarán componentes a la computadora de la víctima y cuáles serán. Los componentes del malware Joao que descubrimos durante nuestra investigación tenían capacidades de backdoor, espionaje y DDoS.
Creo que mi equipo se infectó, ¿cómo lo limpio?
¿Descargas muchos juegos de diferentes fuentes y no estás seguro si tienes alguno de estos? Para detectar rápidamente la presencia del malware Joao en tu computadora, puedes buscar “mskdbe.dll”. Si el resultado de búsqueda incluye un archivo con ese nombre, es muy probable que te hayas infectado.
Si no se encuentra ese archivo, puede que igualmente Joao esté por ahí escondido; los cibercriminales pueden cambiar el nombre del archivo en cualquier momento.
Por lo tanto, lo mejor es usar una solución de seguridad confiable para detectar la amenaza y eliminarla. Puedes usar, por ejemplo, la herramienta gratuita ESET Online Scanner.
¿Cómo protegerte?
El hecho de que Joao y otras amenazas apunten a los gamers no significa que no puedas jugar sin preocuparte por infectarte; presta atención a estos consejos:
- Elige fuente oficiales siempre que sea posible
Los MMORPG que utilizaron estos cibercriminales son apenas una parte de lo que puede esconderse en los enlaces de descarga de repositorios y foros no oficiales.
- Mantén tus juegos actualizados.
Al igual que los sistemas operativos y las aplicaciones, los juegos también tienen vulnerabilidades que pueden ser explotadas por cibercriminales. Asegúrate de que tienes instalados todos los parches suministrados por el desarrollador.
- Usa una solución de seguridad confiable y mantenla activa mientras juegas.
Puede que algo salga mal en tu experiencia de juego, y debes estar preparado para ello. Muchas soluciones de seguridad tienen un modo gamer que permite disfrutar de los videojuegos sin interrupciones, al tiempo que protegen el equipo.
- Recuerda que hay otras amenazas que apuntan a los gamers. Ransomware, keyloggers, troyanos... Para conocerlas y ver más consejos que te ayudarán a jugar en forma segura, no te pierdas esta lista de consejos para gamers.
IoCs |
---|
Downloader de Joao : mskdbe.dll – Win32/Joao.A |
Hashes: |
49505723d250cde39087fd85273f7d6a96b3c50d |
d9fb94ac24295a2d439daa1f0bf4479420b32e34 |
4ede2c99cc174fc8b36a0e8fe6724b03cc7cb663 |
e44dbadcd7d8b768836c16a40fae7d712bfb60e2 |
b37f7a01c5a7e366bd2f4f0e7112bbb94e5ff589 |
fdbb398839c7b6692c1d72ac3fcd8ae837c52b47 |
5ab0b5403569b17d8006ef6819acc010ab36b2db |
c3abd23d775c85f08662a00d945110bb46897c7c |
00a0677e7f26c325265e9ec8d3e4c5038c3d461d |
c1b4c2696294df414cfc234ab50b2e209c724390 |
844f20d543d213352d533eb8042bd5d2aff4b7d4 |
2ce51e5e75d8ecc560e9c024cd74b7ec8233ff78 |
12a772e2092e974da5a1b6e008c570563e9acfe9 |
287c610e40aff6c6f37f1ad4d4e477cb728f7b1d |
5303a6f8318c2c79c2188377edddbe163cd02572 |
6f17c3ab48f857669d99065904e85b198f2b83f5 |
51dfe50e675eea427192dcc7a900b00d10bb257a |
ec976800cd25109771f09bbba24fca428b51563e |
13e05e44d1311c5c15c32a4d21aa8eadf2106e96 |
0914913286c80428b2c6dec7aff4e0a9b51acf50 |
1e9c0a2a75db5b74a96dbfd61bcdda47335aaf8b |
392b54c5a318b64f4fd3e9313b1a17eac36320e1 |
ba40012bdee8fc8f4ec06921e99bc4d566bba336 |
6d130e6301f4971069513266a1510a4729062f6d |
beea9351853984e7426107c37bc0c7f40c5360e0 |
a34d6a462b7f176827257991ef9807b31679e781 |
ac86700c85a857c6d8c72cb0d34ebd9552351366 |
af079da9243eb7113f30146c258992b2b5ceb651 |
1e6125b9c4337b501c699f481debdfefea070583 |
a158f01199c6fd931f064b948c923118466c7384 |
350fc8286efdf8bcf4c92dc077088dd928439de9 |
2da8a51359bf3be8d17c19405c930848fe41bb04 |
Componentes: |
JoaoShepherd.dll – Win32/Joao.B |
joaoDLL.dll – Win32/Joao.C |
joaoInstaller.exe – Win32/Joao.D |
JoaoShepherd.dll (x64) – Win64/Joao.B |
joaoInstaller.exe (x64) – Win64/Joao.D |
Hashes: |
0d0eb06aab3452247650585f5d70fa8a7d81d968 |
f96b42fd652275d74f30c718cbcd009947aa681a |
6154484d4acf83c21479e7f4d19aa33ae6cb716c |
d338babd7173fa9bb9b1db9c9710308ece7da56e |
ef2a21b204b357ca068fe2f663df958428636194 |
6b0e03e12070598825ac97767f9a7711aa6a7b91 |
28ca2d945731be2ff1db1f4c68c39f48b8e5ca98 |
d08120dd3fa82a5f117d91e324b2baf4cbbcaea5 |
f95aef3ca0c4bd2338ce851016dd05e2ee639c30 |
9b2d59a1aa7733c1a820cc94a8d5a6a5b4a5b586 |
ceb15c9fd15c844b65d280432491189cc50e7331 |
3331ac2aecfd434c591b83f3959fa8880141ab05 |
2ff2aadc9276592cbe2f2a07cf800da1b7c68581 |
3bceb54eb9dd2994b1232b596ee0b117d460af09 |
86617e92fc6b8625e8dec2a006f2194a35572d20 |
18a74078037b788f8be84d6e63ef5917cbafe418 |
4b0c1fcd43feab17ca8f856afebac63dedd3cd19 |
6bfa98f347b61d149bb2f8a2c9fd48829be697b6 |
7336e5255043841907e635b07e1e976d2ffb92b5 |
745396fedd66a807b55deee691c3fe70c5bc955d |
574f81b004cb9c6f14bf912e389eabd781fe8c90 |
d7751fc27efbc5a28d348851ce74f987d59b2d91 |
19bf7b5ad77c62c740267ea01928c729ca6d0762 |
ecc0ade237fa46a5b8f92ccc97316901a1eaba47 |
7075ffa5c8635fb4afeb7eea69a910e2f74080b3 |
47f68b6352243d1e03617d5e50948648f090dc32 |
7a4f05fc0906e3e1c5f2407daae2a73b638b73d9 |
b6d7da761084d4732e85fd33fb670d2e330687a2 |
ab69fb7c47e937620ab4af6aa7c36cf75f262e39 |
0e9e2dcf39dfe2436b220f13a18fdbce1270365d |