En la actualidad, los ciberdelincuentes emplean diversos métodos con el fin de perpetrar con mayor éxito sus ataques. Dependiendo del tipo de usuario al cual va dirigido, la táctica varía. Esta puede ser desde un correo acerca de alguna noticia impactante, supuestos mensajes de la autoridad, la utilización de iconos genuinos, o incluso el aumento del tamaño del archivo de la amenaza de forma intencional para no levantar sospecha por parte del usuario.

Esta última estrategia, sumada al uso de un icono adecuado, les resulta útil para camuflar un código malicioso que pretende ser un crack ilegal para un determinado videojuego. En general, los archivos ejecutables de juegos suelen tener un icono característico y un tamaño de fichero mayor al de otro tipo de software. Por ese motivo, los autores de estas amenazas aumentan el peso de las mismas para que parezcan reales.

Tal es el caso del gusano identificado por ESET NOD32 como MSIL/Agent.AO. Este código malicioso fue subido a sitios ilícitos de intercambios de archivos, simulando ser un crack para el juego de disparos en primera persona, Battlefield 3. Aparte del nombre, el malware utiliza el icono original del juego y posee un tamaño exacto de 56,4 MB.

De este modo, se levantará menor sospecha por parte del usuario considerando que el archivo genuino del juego tiene un tamaño aproximado de 30 MB, por lo tanto, un peso demasiado liviano podría parecer dudoso. Cuando el gusano es ejecutado, comienza a crear varias instancias del mismo en la memoria RAM hasta colapsarla, de modo que el equipo recurre al uso de memoria virtual para evitar la caída del sistema operativo, afectando considerablemente el rendimiento del sistema:

Gusano MSIL/Agent.AO consumiendo 1,8 GB RAMAunque esta táctica la hemos observado con otros títulos de última generación como Assassin’s Creed Revelations, Need For Speed Shift 2, Los Sims 3, entre otros; uno de los más utilizados como señuelo para hacer caer a este grupo objetivo es sin lugar a dudas, Battlefield 3. En la siguiente imagen pueden observarse diversos códigos maliciosos (ver por debajo cómo se detectan todos ellos por los productos de ESET), donde se destaca la preponderancia de esta aplicación como técnica de Ingeniería Social:

Malware utilizando iconos genuinos de juegos

Los autores de estas amenazas están en constante perfeccionamiento de sus técnicas, tanto de ingeniería social como a nivel informático, por lo tanto, mientras un juego sea más popular, más probable será que los ciberdelincuentes lo utilicen como gancho para atraer posibles víctimas.

Por otro lado, esto nos reafirma una vez más, uno de los motivos por los cuales se debe evitar siempre la piratería: porque se expone innecesariamente la información y computadora por no adquirir el software de la forma correcta, es decir, pagando por él.

André Goujon
Especialista de Awareness & Research