Una campaña recientemente descubierta está explotando el entusiasmo de los jugadores por los títulos independientes fuera del ritmo para plantar malware de robo de credenciales en máquinas.
Los instaladores de marca para juegos inexistentes como “Baruda Quest”, “Warstorm Fire” y “Dire Talon” son empujados a través de trailers de YouTube y enlaces de descarga de discordias que imitan promociones legítimas de acceso temprano.
Video promocional (fuente – Acronis)
Los señuelos contienen ejecutables basados en electrones con un peso de 80 MB o más, un tamaño que les ayuda a evadir la inspección casual mientras agrupa el tiempo de ejecución del nodo.js necesario para ejecutar el código de ataque.
Una vez que la víctima hace clic en el archivo alojado en discordia, el instalador inicia un paquete NullSoft (NSIS) que extrae silenciosamente un archivo de aplicación.
Analistas de Acronis anotado Que los operadores a veces olvidaron quitar la fuente legible de este archivo, dando a los defensores una visión rara y no obfuscada de sus tácticas y linaje de código, que se remonta a la familia menos robadora.
En el interior, los investigadores identificaron tres variantes activas: robador de red, su robador de RMC de horquilla personalizado y una cepa aparentemente independiente doblada Sniffer Stealer.
Si el malware se ejecuta con éxito, puede desviar contraseñas del navegador, cookies, tokens de discordia, archivos de bestocos criptográficos y claves de sesión para plataformas como Steam y Telegram; Víctimas de la cuenta de la cuenta de riesgo, pérdida financiera y chantaje al estilo de sextortion.
Sitio web falso – www (.) Barudaquest (.) Com (fuente – Acronis)
Esto muestra un portal de descarga falso que incluso redirige a Android y MacOS hace clic con el legítimo club de juegos sociales que cooee mientras sirven a los usuarios de Windows un .exe armado, ilustrando cuán convincentemente los operadores combinan activos reales y falsos para ampliar su alcance.
Mecanismo de infección: detección de sandbox y navegadores silenciosos
Cada muestra verifica primero que no se está ejecutando dentro de una caja de arena de seguridad. Listas negras codificadas Flag Hyper-V, Virtualbox y Hosts de bajo RAM; Hacer coincidir cualquier elemento desencadena un diálogo falso de “error de juego” y termina el proceso, una estratagema que permite que el malware se haga pasar por una beta defectuosa mientras frustraba el análisis automatizado.
La lógica crítica se ve así:-
const BlackListedGpus = (‘VMware SVGA 3D’, ‘Adaptador de gráficos VirtualBox’); Exec (‘WMic Path Win32_VideOcontroller get name’, (err, out) => {if (BlackListedGpus.Some (gpu => out. Incluye (gpu))) {showFakeError (); // Abortar en hardware virtual} else {Launchstealer ();});
Al pasar estos cheques, el malware genera el propio navegador Chrome-Family de la víctima en modo de depuración sin cabeza, apuntándolo a https://mail.google.com mientras expone un puerto de debugging remoto.
A través de ese puerto, el script extrae cookies frescas y datos de enfoque automático directamente de la memoria en vivo, el cifrado de nivel de disco de lado y los archivos bloqueados.
Los artefactos recolectados se contagian y se suben a GoFile.io; Fallback Hosts como File.io, Catbox.moe y tmpfiles.org garantiza la exfiltración incluso si un servicio está bloqueado.
Un hilo separado reenvía la URL de descarga resultante al servidor de comando y control del atacante junto con tokens de discordia cosechados, proporcionando acceso inmediato de sesión completa a historias de chat de las víctimas y gráficos sociales.
Al fusionar el marketing de medios sociales pulidos con trucos técnicos como la ejecución de VM y la extracción de debug navegador, la campaña demuestra cómo los robos modernos de productos básicos están madurando en amenazas de múltiples capas que pueden superar a los usuarios y a las defensas automatizadas por igual.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
