Jugadores de Minecraft expuestos a código malicioso en "skins" modificadas

Alexej Savčin 18 abr 2018

Cerca de 50,000 cuentas Minecraft infectadas con malware diseñado para formatear discos duros y más.

ACTUALIZACIÓN: Microsoft ha emitido una actualización para resolver el problema con las skins.


Cerca de 50,000 cuentas de Minecraft han sido infectadas con malware diseñado para formatear discos duros y eliminar datos de respaldo y programas del sistema, según datos de Avast de los últimos 30 días. El script malicioso Powershell, identificado por los investigadores del Laboratorios de amenazas de Avast, utiliza "skins" de Minecraft creadas en formato de archivo PNG como vehículo de distribución. Las skins son una característica popular que modifica el aspecto del avatar de un jugador de Minecraft. Se pueden cargar en Minecraft desde diversos recursos en línea.

malicious-code-1

El código malicioso es poco impresionante y se puede encontrar en sitios que proporcionan instrucciones paso a paso sobre cómo crear virus con el Bloc de notas. Si bien es justo suponer que los responsables no son ciberdelincuentes profesionales, la mayor preocupación es por qué las máscaras infectadas pueden cargarse legítimamente en el sitio web de Minecraft. Con el malware alojado en el dominio oficial de Minecraft, cualquier detección desencadenada podría ser malinterpretada por los usuarios como un falso positivo.

url-of-malicious-minecraft-skin-2-1URL alojada de la skin maliciosa

Nos hemos puesto en contacto con Mojang, creadores de Minecraft, y están trabajando para solucionar la vulnerabilidad.

¿Por qué Minecraft?

A partir de enero de 2018, Minecraft tenía 74 millones de jugadores en todo el mundo, un aumento de casi 20 millones año tras año. Sin embargo, solo un pequeño porcentaje de la base total de usuarios carga activamente skins modificadas. La mayoría de los jugadores usan las versiones predeterminadas provistas por Minecraft. Esto explica el bajo registro de infecciones. En el transcurso de 10 días, bloqueamos 14,500 intentos de infección. A pesar del bajo número, el alcance de la escalada es alto dado el número de jugadores activos a nivel mundial.

detection-heatmap-4

Mapa de calor de detección

Aunque Minecraft es jugado por individuos en un amplio espectro demográfico, el mayor grupo demográfico tiene entre 15 y 21 años, lo que representa el 43% de la base de usuarios. Los chicos malos pueden haber buscado capitalizar a un grupo más vulnerable de usuarios desprevenidos que juegan un juego en el que confían sus padres y tutores. Pentesting es otra posibilidad, pero es más probable que la vulnerabilidad haya quedado expuesta a la diversión, una mentalidad más común adoptada por los jóvenes del script.

¿Cuán identificable es la amenaza?

Los usuarios pueden identificar la amenaza de varias maneras. El malware está incluido en skins disponibles en el sitio web de Minecraft. Tres ejemplos que contienen el malware se pueden ver a continuación.

No todas las skins son maliciosas, pero si has descargado una similar a las que se muestran a continuación, te recomendamos que ejecutes un análisis antivirus.

minecraft-skins-3

Los usuarios también pueden recibir mensajes inusuales en la bandeja de entrada de su cuenta. Algunos ejemplos identificados son:

"Estás encallado, compra una computadora nueva, esto es un pedazo de mierda"
"Has aprovechado al máximo tu uso de Internet para toda la vida" 
"Tu cu ** se ha pegado"

minecraft-5

Otra evidencia de infección incluye problemas de rendimiento del sistema causados por un simple bucle tourstart.exe o un mensaje de error relacionado con el formateo del disco.

tourstart-exe-minecraft-6

¿Cómo pueden protegerse los usuarios?

Al escanear tu máquina con un potente antivirus (AV) como Avast Free Antivirus, este detectará los archivos maliciosos y los eliminará. Sin embargo, en algunos casos, la aplicación Minecraft puede requerir reinstalación. En circunstancias más extremas en las que las máquinas de los usuarios ya se han infectado con el malware y se han eliminado los archivos del sistema, se recomienda restaurar los datos.  

 

--> -->