Mientras que algunos usuarios no cambian el fondo predeterminado de Windows, otros se conforman con ver una imagen diferente cada día a través de la función Contenido destacado de Windows. Además, también podemos encontrar un gran número de usuarios que prefieren ver movimiento en el fondo de su escritorio, como si de un complemento de hardware se tratara.
En este sentido, una de las aplicaciones más populares es Wallpaper Engine, una aplicación disponible a través de Steam que se ha convertido en el nuevo método de los amigos de lo ajeno para llegar a un mayor número de usuarios explotando la confianza de los usuarios en este tipo de ecosistemas completamente cerrados donde para distribuir una aplicación, es necesario pasar un filtro de seguridad.
Kaspersky advierte sobre la presencia de malware en fondos de pantalla de anime para Wallpaper Engine
También aprovechan el enorme tirón que tiene el anime entre los más jóvenes para crear complementos animados para esta aplicación. Según afirman desde Kaspersky, los amigos de lo ajeno aprovechan todo esto para distribuir complementos para esta aplicación que ocultan código malicioso aprovechando el tirón de populares franquicias de anime.
Kaspersky afirma que se han identificado decenas de paquetes disponibles a través de Steam que acumulan miles e incluso decenas de miles de descargas. Estos utilizan principalmente dos mecanismos diferentes para evitar que sean detectados:
- Esconder scripts maliciosos, archivos ejecutables o archivos de librerías .DLL que se ejecutan en segundo plano en el momento exacto en el que el usuario selecciona el fondo de pantalla descargado a través de la aplicación Wallpaper Engine.
- Ocultar archivos protegidos por contraseña durante la descarga, archivos que se desencriptan automáticamente al seleccionar el fondo de escritorio utilizando claves ocultas en archivos de configuración JSON o en el propio nombre del archivo, para así eludir su detección por parte de los antivirus.
Objetivo: robar las cuentas de Steam
Como es de suponer, el objetivo principal de esta oleada de ataques es el robo de credenciales y la toma de control de los equipos. El malware despliega herramientas de acceso remoto (como la puerta trasera DarkKomet) e inyecta librerías modificadas dirigidas específicamente a la plataforma Steam.
Esto permite a los amigos de lo ajeno interceptar las sesiones activas de los jugadores, extraer la información de sus perfiles y secuestrar sus cuentas de videojuegos para su posterior venta.
Desgraciadamente, el robo de cuentas de Steam es algo muy habitual, y ante lo que Valve tiene las manos atadas si el usuario no pone de su parte. Si bien es cierto que la autenticación de doble factor es, sobre el papel, una práctica más que válida, los amigos de lo ajeno se aprovechan de que muchos usuarios utilizan la misma contraseña para todos los servicios y, una vez tienen acceso al correo, pueden cambiar la dirección asociada, confirmar el cambio y así hacernos perder la cuenta para siempre.
Preguntas frecuentes sobre el malware en fondos de Steam
¿Cómo infecta el malware mi PC a través de Wallpaper Engine?
Los atacantes ocultan scripts ejecutables o librerías .DLL dentro de fondos de pantalla que se activan en segundo plano al seleccionar la imagen. En otros casos, usan archivos protegidos por contraseña que se desencriptan mediante claves ocultas en archivos JSON para evitar ser detectados por el antivirus.
¿Qué tipo de archivos debo evitar descargar en Steam?
Kaspersky ha identificado decenas de paquetes sospechosos que utilizan el tirón del anime para atraer usuarios. Debes desconfiar de complementos que acumulen descargas pero que incluyan archivos ejecutables o configuraciones JSON inusuales antes de activarlos.
¿Cuál es el objetivo final de estos ataques en Steam?
El principal objetivo es el robo de credenciales mediante herramientas de acceso remoto como DarkKomet. Los atacantes buscan secuestrar las sesiones activas de los jugadores para extraer información del perfil y vender las cuentas de videojuegos.
¿Me protege el doble factor de autenticación de este malware?
Aunque es una medida de seguridad vital, no es infalible si el atacante logra acceso al correo electrónico asociado. Muchos usuarios repiten contraseñas, lo que permite a los hackers cambiar la dirección de correo y la clave, bloqueando al usuario legítimo permanentemente.
¿Qué papel juega Valve en la seguridad de estos contenidos?
Aunque Steam es un ecosistema cerrado con filtros de seguridad, los atacantes logran eludirlos mediante técnicas de encriptación. Valve tiene dificultades para recuperar cuentas si el usuario ha permitido el acceso al no aplicar medidas de higiene digital básicas.