En el dinámico mundo del gaming online, los mods (modificaciones) se han convertido en una parte esencial, ampliando y enriqueciendo la experiencia de juego. Sin embargo, recientemente, un mod de un popular juego en Steam se ha visto comprometido, convirtiéndose en un vehículo para la distribución de malware diseñado para robar contraseñas. Este incidente pone de relieve los riesgos de seguridad asociados con los mods y la importancia de adoptar medidas preventivas para protegerse.
Una expansión dirigida a los fanáticos del popular juego independiente de estrategia llamado "Slay the Spire" fue comprometida el día de Navidad para distribuir el malware conocido como Epsilon, el cual tiene la función de robar información. Este ataque se llevó a cabo mediante el sistema de actualización de la plataforma Steam.
El desarrollador, Michael Mayhem, explicó que el paquete afectado era una versión modificada independiente preempaquetada del juego original, no un mod instalado a través del Steam Workshop. Según sus palabras, uno de sus dispositivos fue infectado con malware que pasó desapercibido por sus medidas de seguridad, y hasta el momento no se ha confirmado que sea un malware para robar contraseñas, ya que no se activó la autenticación de dos factores (2FA) ni se detuvo con ella. Además, las cuentas comprometidas estaban asociadas con diferentes direcciones de correo electrónico.
Mayhem también mencionó que existe la posibilidad de que se haya producido un secuestro de token, diseñado específicamente para tomar control de las cuentas de Steam y Discord, evitando alertar a los usuarios. Sin embargo, estas conclusiones aún son especulativas. Los atacantes lograron comprometer las cuentas de Steam y Discord de uno de los desarrolladores de la expansión, lo que les permitió tomar el control de la cuenta de Steam del mod.
Te podrá interesar leer: Discord: Epicentro de Malware y APTs
El incidente ocurrió entre la 1:30 p. m. y las 2:30 p. m. hora del este del 25 de diciembre. Si los usuarios iniciaron el juego "Downfall" durante ese período, es posible que hayan visto una ventana emergente del instalador de la biblioteca Unity, lo que indica que podrían estar en riesgo debido a la brecha de seguridad que permitió la sustitución maliciosa del juego.
Una vez que el malware se instala en una computadora comprometida, recopila información como cookies, contraseñas almacenadas y detalles de tarjetas de crédito de diversos navegadores web, como Google Chrome, Yandex, Microsoft Edge, Mozilla Firefox, Brave y Vivaldi. También busca documentos que contengan la palabra "contraseña" en sus nombres de archivo y otros datos de inicio de sesión, incluido el de Windows y Telegram.
Se aconseja a los usuarios de "Downfall" cambiar todas sus contraseñas importantes, especialmente las de cuentas que no están protegidas por autenticación de dos factores (2FA).
Los usuarios que recibieron la actualización maliciosa informaron que el malware se instaló como una aplicación de Windows Boot Manager en la carpeta AppData o como UnityLibManager en la carpeta /AppData/Roaming.
El Epsilon Stealer es un malware de robo de información que se comercializa a través de Telegram y Discord a otros actores de amenazas. Normalmente, se utiliza para atacar a jugadores en Discord mediante engaños para que instalen el malware bajo el pretexto de probar un nuevo juego y obtener una recompensa económica. Sin embargo, una vez instalado el juego, el malware funciona en segundo plano y roba contraseñas, datos de tarjetas de crédito y cookies de autenticación de usuario.
Los ciberdelincuentes utilizan esta información robada para acceder a más cuentas o la venden en mercados de la Dark Web. Según datos de VirusTotal, es probable que el mismo actor de amenazas detrás de este ataque haya apuntado a otros juegos y desarrolladores de juegos.
Te podrá interesar leer: Análisis de Malware con Wazuh
En octubre, Valve anunció una nueva medida que requiere que los desarrolladores de juegos que deseen lanzar actualizaciones en la rama de lanzamiento predeterminada en Steam utilicen controles de seguridad basados en SMS.
Esta decisión se tomó en respuesta al aumento de las cuentas de Steamworks comprometidas que se utilizaban para distribuir compilaciones de juegos maliciosos y así infectar a los jugadores con malware desde finales de agosto.
Valve explicó que como parte de esta actualización de seguridad, cualquier configuración de cuenta de Steamworks creada en la rama pública o predeterminada de una aplicación lanzada deberá estar asociada a un número de teléfono. Steam enviará un código de confirmación a dicho número antes de permitir cualquier acción adicional. Este requisito también se extenderá a las cuentas de Steamworks que necesiten agregar nuevos usuarios.
Esta medida entró en vigencia el 24 de octubre de 2023, por lo que Valve recomendó a los desarrolladores que aseguraran que sus cuentas tuvieran un número de teléfono asociado antes de esa fecha. Además, la compañía planea implementar este requisito en otras acciones de Steamworks en el futuro para fortalecer aún más la seguridad en la plataforma.
El incidente del mod de Steam infectado con malware es un recordatorio oportuno de los riesgos inherentes en el mundo del gaming online. Al tomar medidas proactivas y estar alerta, puedes disfrutar de una experiencia de juego segura y protegida. La seguridad en línea es una responsabilidad compartida entre desarrolladores, plataformas y usuarios. Al trabajar juntos, podemos crear un entorno de juego más seguro para todos.