ESET advierte sobre algunos enlaces en internet que ofrecen descargas gratuitas de este videojuego
Con una preventa de 8 millones de copias alrededor del mundo, el videojuego Cyberpunk 2077 se convirtió en un éxito de ventas. Como suele suceder, los cibercriminales sacan provecho de estas tendencias para afectar a usuarios desprevenidos. Desde su lanzamiento el Laboratorio de Investigación de ESET analizó alrededor de 30 enlaces que prometían una descarga gratis del juego.
Robo de datos sensibles
Uno de estos sitios contenía un supuesto enlace de descarga que simulaba ser un instalador del juego. Antes de la instalación, ofrecía cambiar la supuesta ruta donde se guardaría el juego. Sin embargo, al seleccionar esta opción, el navegador advierte que la acción a realizar es seleccionar una carpeta y subir archivos del usuario al sitio malicioso.
Una vez seleccionada la supuesta ruta, se procede a “instalar” el juego, mostrando una barra de progreso sobre archivos de instalación inexistentes. Antes de terminar el proceso, un mensaje solicita ingresar una contraseña; esto sería un test de CAPTCHA. Luego solicita completar encuestas en un sitio ajeno, plagado de publicidades; es aquí es donde los cibercriminales hacen rentable el engaño.
Estas encuestas cuentan con un supuesto verificador para comprobar la finalización y entregar la aparente contraseña. Una vez realizada la verificación humana, se redirige a una página similar, en donde las encuestas esta vez solicitan datos sensibles del usuario para poder continuar, como números de tarjetas de crédito o débito, que probablemente terminen en manos de los operadores detrás de la campaña.
Descarga otros potenciales archivos maliciosos
Otro de los sitios analizados contenía una descarga real de un archivo ejecutable llamado Setup_212646. Al analizarlo desde ESET identificaron que pertenece a distintas familias conocidas de Adwares, un malware que introduce publicidades o pop-ups indeseados en el sistema del usuario y modifica propiedades del navegador para redirigir al usuario a páginas falsas. Una vez ejecutado, este instalador ya no simulaba ser el juego, sino que descargaba la aplicación Notepad.
«Si bien la instalación de esta aplicación fue legítima, ayuda a camuflar las acciones maliciosas que realiza en paralelo el archivo sospechoso. En primer lugar, elimina el mismo archivo descargado, para evitar dejar rastro en el equipo de la víctima. Luego, examina y modifica registros relacionados con la versión de sistema operativo, equipo y Windows Defender del usuario para evadir los controles de seguridad, posiblemente para evitar ciertas acciones de este último en caso de estar activado”; comenta Martina López, Investigadora de Seguridad Informática del Laboratorio de ESET Latinoamérica.
Además, para asegurarse persistencia, los ciberatacantes instalan dos programas más para modifica los registros de arranque del sistema y examinar los registros relacionados con Internet Explorer intentando modificarlos.
“Estos hallazgos nos recuerdan que las amenazas se esconden hasta en el lugar menos esperado de la web, y que se deben realizar las descargas desde sitios seguros y oficiales. Además, si bien el juego ya ha sido lanzado por primera vez, los cibercriminales volverán a aprovecharse de su regreso, lanzando estas efímeras campañas de nuevo, con lo cual podremos ver un aumento de actividad en los próximos meses una vez más”; comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
