Análisis de amenazas

Ladrón de contraseñas disfrazado como servidor de Fortnite

Avast Threat Labs 24 mar 2022

Desde principios de este año, Avast ha protegido a más de 2000 clientes de este ladrón de contraseñas.

Los investigadores de Avast han encontrado malware para robar contraseñas, disfrazado como un servidor privado de Fortnite, donde los usuarios pueden reunirse para una partida privada y usar máscaras de forma gratuita. El malware se está propagando fuertemente en la plataforma de comunicaciones Discord. Los investigadores también encontraron videos de "tutoriales" de TikTok que describen cómo las víctimas potenciales pueden unirse al servidor Discord, desactivar su antivirus y descargar el archivo malicioso.

El ladrón de contraseñas está diseñado para robar credenciales y otra información guardada en el navegador, así como criptomonedas de billeteras criptográficas y tomar capturas de pantalla. También roba las credenciales de inicio de sesión de Discord, NordVPN, FileZilla y más (puedes encontrar una lista completa de lo que es capaz de hacer el ladrón de contraseñas al final de esta publicación).  

La campaña maliciosa se aprovecha de los jugadores jóvenes que buscan partidas privadas para personalizar la apariencia de su personaje Fortnite para reflejar su personalidad o estado de ánimo. La campaña está en ruso y se dirige principalmente a los jugadores rusos. Desde principios de este año, Avast ha protegido a más de 2000 clientes de este ladrón de contraseñas.

La cuenta de TikTok que aloja los videos tutoriales se llama "shtorm_genius", como se puede ver en la siguiente captura de pantalla. Hemos visto dos ejemplos de videos tutoriales en la cuenta que describen cómo unirse al servidor Discord y descargar el malware, en detalle. Uno de los videos, que es un video más antiguo, es más completo, por ejemplo, contiene instrucciones sobre cómo deshabilitar la protección antivirus en la PC de la víctima, para garantizar que el malware pueda ejecutarse.

Cuenta de TikTok que promociona el servidor Discord que aloja el archivo malicioso

Captura de pantalla de uno de los videos tutoriales que describen en detalle cómo las personas pueden unirse al servidor Discord donde se les anima a descargar el archivo malicioso.

El servidor de Discord se llama “Storm Community”, tiene cerca de 300 usuarios y está creciendo. Las personas en el servidor también ofrecen a la venta cuentas de Fortnite que, supuestamente, contienen elementos de máscara que el comprador puede usar o vender en otro lugar.

En otro video de la cuenta de TikTok se muestra un servidor de Discord (no el que encontramos). Vea la captura de pantalla a continuación. Esto nos lleva a creer que el malware para robar contraseñas se distribuye en más de un canal de Discord. 

En el servidor de Discord que analizamos, un usuario con el nombre de usuario "Genius" notifica a todos en el canal que descarguen el "servidor privado".

En un canal dentro del servidor de Discord llamado “chat”, un usuario pregunta qué hacer, porque el servidor privado no funciona. Como sabemos, el archivo es en realidad un malware para robar contraseñas, que funciona. El archivo se ejecuta y aparece una ventana durante una fracción de segundo, tan rápido que la víctima ni siquiera se da cuenta de que algo sucedió. Desafortunadamente, a partir de la conversación, es evidente que el usuario intentó iniciar el servidor privado y, como resultado, se infectó sin darse cuenta.

Otro usuario reacciona a la publicación de la víctima, señalando que el archivo es un troyano. El usuario “Genius”, de quien sospechamos es el autor del malware, pide pruebas.

Poco después, se elimina el mensaje que muestra el archivo como un troyano.

Cómo funciona el malware ladrón de contraseñas

El ladrón de contraseñas se centra principalmente en el robo de credenciales, el robo de criptomonedas, la extracción de información guardada en el navegador (como contraseñas, cookies y tarjetas de crédito), así como en el robo de contenido del portapapeles y la toma de capturas de pantalla.

Comprueba las billeteras de criptomonedas, ya sea por su ubicación de archivo común o buscando extensiones de navegador instaladas.

El malware también roba credenciales de aplicaciones comúnmente utilizadas por los jugadores, incluidas Steam y Discord, así como software FTP y VPN.

Toda la información robada se envía al servidor C&C del autor (95.142.46[.]35:6666) en forma de un archivo .ZIP sin cifrar, que contiene toda la información recopilada de navegadores y aplicaciones, archivos de criptobilletera, así como el portapapeles. contenido y capturas de pantalla. El malware también envía un archivo de registro, codificado con Base64, que informa al autor sobre lo que fue robado, incluida información adicional sobre el sistema de la víctima.

La lista completa de información robada se puede encontrar a continuación.

Información extraída de los navegadores:

  • Contraseñas guardadas
  • Galletas
  • Información de autocompletar
  • Tarjetas de crédito

Información del sistema operativo:

  • versión del sistema operativo
  • compilación del sistema operativo
  • Fecha de instalación del sistema
  • ID de producto del sistema

Credenciales de:

  • ArchivoZilla
  • Comandante total
  • Vapor
  • Telegrama
  • NordVPN
  • OpenVPN
  • Discordia

CRIPTOMONEDAS:

  • Arsenal
  • Atómico
  • Bitcoin
  • Bytecoin
  • Pizca
  • Electro
  • Etéreo
  • Litecoin
  • Zcash
  • Éxodo
  • Metamáscara
  • Ronin
  • Binance
  • Tron

Otros contenidos:

  • Contenido del portapapeles
  • Capturas de pantalla de la pantalla de la víctima

Recomendaciones para que los jugadores eviten ser víctimas de esta y otras estafas similares

  • Nunca confíes en nada que te recomiende desactivar tu protección antivirus. Cualquiera que te pida que hagas esto está tratando de compartir algo inseguro. 
  • Si algo parece muy bueno (en este caso, máscaras gratuitas en un servidor privado para tu juego favorito), piénsalo dos veces antes de continuar, porque es probable que sea demasiado bueno para ser verdad.
  • Solo descarga y usa software de fuentes verificadas y confiables. Recomendamos visitar estas fuentes directamente, en lugar de seguir un enlace compartido en alguna parte. 
  • Esto puede sonar como un gran cliché, pero en realidad, no confíes en todo lo que ves en Internet. En este caso, la cuenta de TikTok tiene miles de me gusta, pero eso no quiere decir que sea confiable.