AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Un actor malicioso compromete un juego en Steam para distribuir malware robainformación

admin

Introducción

El ecosistema de distribución digital de videojuegos, y en particular plataformas tan populares como Steam, se ha convertido en un vector de ataque recurrente para actores maliciosos que buscan maximizar el alcance de sus campañas. El reciente caso protagonizado por el grupo conocido como EncryptHub ha puesto de manifiesto los riesgos emergentes asociados a la manipulación maliciosa de títulos en tiendas oficiales. Este incidente afecta tanto a usuarios particulares como a empresas que integran videojuegos en entornos corporativos, y revela nuevas tácticas de ataque orientadas al robo de información sensible.

Contexto del Incidente

A principios de junio de 2024, se detectó una campaña de distribución de malware en la plataforma Steam, orquestada por EncryptHub, un actor de amenazas especializado en la propagación de info-stealers. La operación se centró en un juego legítimo, que fue modificado para incluir código malicioso en su ejecutable y archivos de recursos. La actualización comprometida fue distribuida a través de los canales oficiales de Steam, lo que permitió eludir soluciones tradicionales de filtrado basadas en reputación y firma.

El vector de ataque aprovecha la confianza depositada por la comunidad en la plataforma, así como los procesos automatizados de actualización, que suelen ejecutarse sin supervisión directa del usuario. La campaña ha conseguido infectar a un número aún no determinado de sistemas (las estimaciones preliminares apuntan a varios miles de descargas antes de la intervención de Valve), provocando la exfiltración de credenciales, cookies de sesión, wallets de criptomonedas y archivos relevantes para la autenticación multifactor.

Detalles Técnicos

El malware distribuido por EncryptHub corresponde a una variante reciente de un info-stealer modular, que incorpora mecanismos de evasión de sandbox y técnicas de anti-debugging. El ejecutable malicioso fue empaquetado junto al juego en la actualización, y su persistencia se asegura mediante la creación de tareas programadas y la modificación de claves de registro en Windows.

El ataque no ha sido aún vinculado a un CVE específico, dado que la vulnerabilidad explotada es de tipo “supply chain compromise” (compromiso de cadena de suministro) más que un fallo puntual de software. Sin embargo, la táctica se alinea con la técnica T1195.002 (Supply Chain Compromise: Software Supply Chain) del framework MITRE ATT&CK.

Entre los indicadores de compromiso (IoC) detectados destacan:

– Hashes SHA256 de los ejecutables modificados.
– C2s (comandos y control) utilizados: direcciones IP y dominios específicos asociados a EncryptHub.
– Patrones de tráfico inusual hacia servidores en Rusia y Europa del Este.
– Archivos temporales y logs generados en %APPDATA% y carpetas de usuario ocultas.

El malware incluye funcionalidades de keylogger, extracción de credenciales almacenadas en navegadores (Chrome, Edge, Firefox), robo de tokens de Discord y Telegram, y localización de wallets de criptomonedas (Metamask, Exodus, Electrum).

Impacto y Riesgos

El impacto de esta campaña es significativo, especialmente considerando que el canal de distribución es una plataforma reconocida y ampliamente utilizada. Se estima que entre un 0,1% y un 0,3% de los usuarios que descargaron la actualización fueron afectados antes de la retirada del juego comprometido. Los principales riesgos asociados son:

– Robo de credenciales corporativas y personales.
– Secuestro de cuentas de Steam, plataformas de gaming y redes sociales.
– Pérdida de activos digitales, especialmente criptomonedas.
– Potencial uso de sistemas comprometidos como punto de entrada para ataques posteriores (lateral movement).
– Infracciones regulatorias (GDPR, NIS2) en caso de que organizaciones europeas vean comprometidos datos personales de empleados o clientes.

Medidas de Mitigación y Recomendaciones

Para limitar el alcance de este tipo de ataques, se recomienda a administradores y usuarios:

– Monitorizar hashes y artefactos publicados como IoC en los repositorios de threat intelligence.
– Implementar soluciones EDR con capacidades de análisis de comportamiento y detección de actividad anómala en procesos relacionados con Steam.
– Forzar el cambio de contraseñas y la revocación de tokens de acceso para usuarios potencialmente afectados.
– Asegurar la actualización regular de sistemas antivirus y el bloqueo de comunicaciones con los C2 identificados.
– Revisar los permisos de ejecución automática para juegos y aplicaciones de terceros en entornos corporativos.

Opinión de Expertos

Numerosos expertos en ciberseguridad coinciden en que este ataque representa una evolución preocupante en las tácticas de compromiso de la cadena de suministro en plataformas de consumo masivo. Según Juan Carlos Fernández, analista jefe en una consultora de ciberseguridad española, “la confianza ciega en repositorios oficiales debe ser reevaluada. Los atacantes han demostrado capacidad para infiltrarse en los procesos de publicación y actualización, lo que exige un refuerzo en los controles de seguridad del lado de los proveedores y operadores de plataformas”.

Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de revisar las políticas de uso de software de entretenimiento en entornos empresariales, especialmente en sectores regulados y organizaciones que gestionan datos sensibles. Las empresas deben considerar la segmentación de redes y la restricción de privilegios para minimizar el impacto de potenciales incidentes derivados de software no crítico.

Para los usuarios individuales, se recomienda la adopción de autenticación multifactor, la revisión periódica de dispositivos en busca de actividad sospechosa y la precaución ante cualquier actualización inesperada, incluso si proviene de fuentes aparentemente legítimas.

Conclusiones

El caso de EncryptHub y el compromiso de un juego en Steam para distribuir malware robainformación marca un nuevo hito en la sofisticación y alcance de los ataques a la cadena de suministro digital. La confianza depositada en plataformas oficiales requiere de una vigilancia continua y de la implementación de controles adicionales tanto por parte de proveedores como de usuarios finales. El refuerzo de las capacidades de detección y respuesta, junto con una adecuada gestión de riesgos, resulta imprescindible para mitigar el impacto de campañas similares en el futuro.

(Fuente: www.bleepingcomputer.com)