Ha surgido una sofisticada campaña de malware dirigida a los jugadores de la Generación Z, aprovechando versiones armadas de juegos populares para infiltrarse en las comunidades de juegos y robar información confidencial.
La campaña, que ha registrado más de 19 millones de intentos de distribución de malware en un solo año, demuestra cómo los ciberdelincuentes están explotando cada vez más la pasión de la generación nativa digital por los juegos para ejecutar operaciones de robo de datos a gran escala.
El vector de ataque principal implica la distribución de archivos de instalador de juegos maliciosos disfrazados de versiones legítimas de títulos populares que incluyen Grand Theft Auto, Minecraft y Call of Duty.
Un hermoso fondo y personajes reconocibles (fuente – Kaspersky)
Estos tres juegos solo representaron 11.2 millones de intentos de ataque, lo que representa casi el 60% de todos los incidentes registrados.
Los operadores de malware han elegido estratégicamente estos títulos debido a sus comunidades masivas en línea y a la constante demanda de modificaciones, trucos y versiones agrietadas entre los jugadores.
El panorama de amenazas ha evolucionado más allá de los simples esquemas de phishing para incluir malware sofisticado robador que se dirige a múltiples plataformas simultáneamente.
Analistas de Kaspersky identificado El robador de Hexon como una amenaza principal en noviembre de 2024, distribuida a través de foros de juego, canales de discordia y sitios de intercambio de archivos.
Mensaje de los atacantes en un canal de discordia (fuente – Kaspersky)
Este malware demuestra capacidades avanzadas, extrayendo datos de usuarios de las plataformas de juegos Steam y al mismo tiempo dirigirse a aplicaciones de mensajería, incluidas plataformas de telegrama, WhatsApp y redes sociales como Tiktok, YouTube, Instagram y Discord.
Los ciberdelincuentes detrás de esta campaña operan bajo un modelo de malware como servicio, donde los actores técnicamente calificados proporcionan herramientas de malware a delincuentes menos experimentados por una tarifa.
Este modelo de negocio ha acelerado el alcance y la sofisticación de la campaña, lo que permite una implementación rápida en múltiples canales de distribución.
Mecanismos avanzados de evasión y persistencia
El aspecto más preocupante del malware se encuentra en sus sofisticadas capacidades de evasión de detección.
Después de su descubrimiento inicial, el robador de Hexon se sometió a un cambio de marca estratégico a “LEET”, que incorporan características anti-análisis mejoradas que representan una evolución significativa en el diseño de malware.
La versión actualizada implementa un mecanismo de derivación de sandbox de múltiples capas que comienza con la verificación sistemática de la dirección IP pública del dispositivo infectado y el análisis integral de especificaciones del sistema.
Cuando se ejecuta, el malware realiza controles ambientales en tiempo real para determinar si está operando dentro de una máquina virtual o un entorno de Sandbox.
El algoritmo de detección analiza las configuraciones del hardware del sistema, los parámetros de red y los procesos de ejecución para identificar signos reveladores de entornos de análisis.
Al detectar indicadores de virtualización, el malware finaliza inmediatamente su ejecución, evitando efectivamente que los investigadores de seguridad analicen su comportamiento en entornos de laboratorio controlados.
Este mecanismo de autoconservación asegura que el malware permanezca operativo en entornos de víctimas genuinos al tiempo que evita la detección por sistemas de seguridad automatizados y intentos de análisis manual.
Detectar malware en un entorno en vivo analizar archivos y URL sospechosos en cualquiera. Prueba gratis
