Mientras que algunos usuarios no cambian el fondo predeterminado de Windows, otros se conforman con ver una imagen diferente cada día a través de la función Contenido destacado de Windows. Además, también podemos encontrar un gran número de usuarios que prefieren ver movimiento en el fondo de su escritorio, como si de un complemento de hardware se tratara.
En este sentido, una de las aplicaciones más populares es Wallpaper Engine, una aplicación disponible a través de Steam que se ha convertido en el nuevo método de los amigos de lo ajeno para llegar a un mayor número de usuarios explotando la confianza de los usuarios en este tipo de ecosistemas completamente cerrados donde para distribuir una aplicación, es necesario pasar un filtro de seguridad.
Kaspersky advierte sobre la presencia de malware en fondos de pantalla de anime para Wallpaper Engine
También aprovechan el enorme tirón que tiene el anime entre los más jóvenes para crear complementos animados para esta aplicación. Según afirman desde Kaspersky, los amigos de lo ajeno aprovechan todo esto para distribuir complementos para esta aplicación que ocultan código malicioso aprovechando el tirón de populares franquicias de anime.
Kaspersky afirma que se han identificado decenas de paquetes disponibles a través de Steam que acumulan miles e incluso decenas de miles de descargas. Estos utilizan principalmente dos mecanismos diferentes para evitar que sean detectados:
- Esconder scripts maliciosos, archivos ejecutables o archivos de librerías .DLL que se ejecutan en segundo plano en el momento exacto en el que el usuario selecciona el fondo de pantalla descargado a través de la aplicación Wallpaper Engine.
- Ocultar archivos protegidos por contraseña durante la descarga, archivos que se desencriptan automáticamente al seleccionar el fondo de escritorio utilizando claves ocultas en archivos de configuración JSON o en el propio nombre del archivo, para así eludir su detección por parte de los antivirus.
Objetivo: robar las cuentas de Steam
Como es de suponer, el objetivo principal de esta oleada de ataques es el robo de credenciales y la toma de control de los equipos. El malware despliega herramientas de acceso remoto (como la puerta trasera DarkKomet) e inyecta librerías modificadas dirigidas específicamente a la plataforma Steam.
Esto permite a los amigos de lo ajeno interceptar las sesiones activas de los jugadores, extraer la información de sus perfiles y secuestrar sus cuentas de videojuegos para su posterior venta.
Desgraciadamente, el robo de cuentas de Steam es algo muy habitual, y ante lo que Valve tiene las manos atadas si el usuario no pone de su parte. Si bien es cierto que la autenticación de doble factor es, sobre el papel, una práctica más que válida, los amigos de lo ajeno se aprovechan de que muchos usuarios utilizan la misma contraseña para todos los servicios y, una vez tienen acceso al correo, pueden cambiar la dirección asociada, confirmar el cambio y así hacernos perder la cuenta para siempre.
