El malware que pulula por la red puede estar escondido en todo tipo de herramientas. El último descubierto por Sophos estaba orientado directamente a gamers, ya que se escondía en unos chetos que estaban diseñados para CS:GO o Apex Legends. El malware incluido se vendía en la Deep Web.

Baldr: el virus que se escondía en chetos para CS:GO y Apex Legends

La investigación se ha centrado en torno a una familia de malware llamada Baldr, que se detectó por primera vez en enero de este año en la Dark Web. Desde entonces, la empresa de ciberseguridad fue rastreando sus ventas y extensión por la red, donde detectaron la venta de al menos 200 licencias.

El malware se vendía en foros rusos pertenecientes de la Deep Web, y era comprado por ciberdelincuentes con poca experiencia que los incluían en chetos y demás trampas para juegos online. Una vez el usuario ejecutaba el malware, éste robaba sus contraseñas y toda la información importante en apenas 30 segundos. Después, tomaba una foto del escritorio, cifraba los datos, y los mandaba a un servidor.

El troyano se camuflaba como trampas para juegos como CS:GO o Apex Legends, y se distribuía por vídeos de YouTube, cuyas descripciones contenían enlaces a los archivos que incluían el malware, que normalmente eran en formato .ace o archivos .rtf de Office. Al ejecutarse, analizaba los programas instalados para saber de cuáles robar los datos.

El malware robaba todas las contraseñas y datos posibles en apenas 30 segundos

La distribución del malware aumentó de manera acelerada, pero una disputa entre del desarrollador del malware y su principal distribuidor hizo que el sistema dejara de usarse, aunque no descartan que pueda volver a aparecer bajo otro nombre. Tanto del desarrollador como el distribuidor recibían los datos robados de los usuarios.

Entre la información que Baldr era capaz de robar se encuentran la ubicación del dispositivo, carteras de bitcoin, perfiles de redes VPN, clientes FTP, y todas las contraseñas y cookies almacenadas localmente de hasta 22 navegadores diferentes. Con ello, un atacante podía robar la identidad del usuario, conocer sus tarjetas de crédito, además de acceder a todas sus redes sociales, servicios de streaming, tiendas online, o cuentas de plataformas de juegos. Entre las credenciales robadas se encuentran mayoritariamente las de cuentas de email de Gmail, Hotmail y Yahoo. También robaron cuentas de Amazon, Facebook o Steam.

Los países más afectados por el malware han sido Indonesia, Estados Unidos, Brasil, Rusia, India y Alemania. En principio, a pesar de que Francia también tiene una alta tasa de afectados, España no habría tenido apenas casos. Sin embargo, esto nos demuestra varias cosas: primero, que en España somos más inteligentes y no descargamos basura de YouTube, y que tenemos menos interés en hacer trampas en los juegos. Si no hubiera un amplio mercado de usuarios que se lo pasan mejor utilizando aimbot y wallhack, todo este malware no tendría ningún tipo de distribución.