Malware ladrón de contraseñas almacenado en Google Drive siendo entregado a usuarios de Steam en línea

Malware ladrón de contraseñas almacenado en Google Drive siendo entregado a usuarios de Steam en línea

Un malware que tiene como objetivo robar las credenciales de los usuarios de STEAM ha surgido recientemente. Este malware se está propagando a través de la función de chat del servicio.

Pide a los usuarios que hagan clic en un enlace que está acortado utilizando los servicios de acortamiento disponibles en internet.

Cuando el usuario hace clic en él, es dirigido a un archivo almacenado en Google Drive. El archivo parece ser un archivo de imagen, completo con un ícono de imagen en él. Este archivo, de hecho, es un ejecutable y robará tus credenciales de Steam una vez ejecutado.

Tabla de Contenidos

• Ataque Obvio
• Aparentemente, es demasiado obvio

Ataque Obvio

Si estás familiarizado con los malwares, este proceso te habría sonado como el truco más obvio del libro.

Eso es porque lo es. Pero si lo estamos reportando, muestra que a veces incluso los ataques más obvios pueden tener víctimas. La mayoría de los jugadores son conscientes de tales ataques de malware y siempre permanecen lo suficientemente vigilantes para mantenerse alejados de sitios maliciosos.

Pero a veces, las personas tienden a caer en la trampa, como ha sucedido en este caso muchas veces.

Como se mencionó anteriormente, la mayoría de los jugadores son conscientes de los enlaces cargados de malware que se están empujando en los chats. Muchas veces los enlaces se convierten en objeto de broma en el chat de Steam porque muchos jugadores son conscientes de ello. Aquí hay un ejemplo de uno de ellos.

Bart Blaze, investigador de malware en Panda Security, quien analizó la muestra y proporcionó una visión técnica en una publicación de blog el domingo, explica que el enlace malicioso procede a descargar un archivo de salvapantallas (extensión SCR), que es un ejecutable, desde Google Drive; el SCR pretende ser una imagen e incluso tiene una imagen como ícono del archivo.

“Ten en cuenta que normalmente, la aplicación Google Drive Viewer se mostrará y esto te permitirá descargar el archivo .scr. En este caso, se añade la cadena ‘&confirm=no_antivirus’ al enlace, lo que significa que el archivo aparecerá inmediatamente preguntando qué hacer: Ejecutar o Guardar. (y en algunos casos se descarga automáticamente),” escribe.

Aparentemente, es demasiado obvio

Ahora para la buena noticia. Este ataque parece ser tan conocido que la mayoría de los antivirus disponibles son conocidos por proteger contra él.

La mayoría de las soluciones antivirus de buena reputación lo detectan y previenen su descarga en la computadora. 37 de 55 motores antivirus en VirusTotal no tienen problemas en ponerlo en cuarentena en el acto.

En el análisis del investigador, se observa que el malware se conecta a un servidor alojado en la República Checa, donde probablemente se sube la información robada.

Las señales de que la información de inicio de sesión de la cuenta de Steam ha sido comprometida a través de esta amenaza consisten en la presencia de un proceso llamado “temp.exe,” “wrrrrrrrrrrrr.exe,” “vv.exe,” o uno con un nombre aleatorio ejecutándose en el sistema; esto se puede verificar con el Administrador de Tareas.

No parece haberse tomado ninguna acción contra este malware ya que el archivo aún existe en el servicio de almacenamiento en la nube de Google. Esta es la única razón por la que los usuarios de Steam pueden pensar que es legítimo y caer en la trampa del malware.