La nueva temporada del increíblemente popular videojuego Fortnite está sobre nosotros , y también lo son las estafas. No es de extrañar que los estafadores se suban a este carro, ansiosos por vender sus falsificaciones.

Solo que esta vez, los estafadores tenían en mente algo más peligroso que sus típicas encuestas y descargas de bajo nivel que en realidad nunca se materializan. Entre toda la gula de las estafas, había un archivo malicioso listo para robar datos y enumerar las billeteras de Bitcoin, para empezar.

¿Cómo lo encontramos? Primero, examinamos una gran cantidad de seis pases gratuitos de la temporada, supuestamente versiones «gratuitas» de Fortnite para Android, que se filtraron de las narices del desarrollador, la explosión popular de «V-Bucks gratis» que solía comprar. contenido adicional en el juego, y un montón de trampas falsas, wallhacks y aimbots.

Aquí está el estado actual de YouTube, por ejemplo:

resultados de búsqueda fortnite

Click para agrandar

Estos videos pueden generar grandes números: aquí hay uno que ha sido derribado, pero logró acumular 120,000 vistas antes de que cayera el martillo:

120k vistas

Click para agrandar

Casi toda la estafa de la estafa siguió la ruta típica de la encuesta, como se esperaba. Pero enterrado en todo esto había una pequeña y desagradable porción de malware de robo de datos disfrazado de una herramienta engañosa.

Ofrecer un archivo malicioso bajo el pretexto de un tramposo es tan antiguo como parece, pero eso nunca ha detenido a los cibercriminales. En este escenario, los posibles tramposos sufren un sabor de su propia medicina a través de una cadena de clics y (eventualmente) algún malware como regalo de despedida. ¿Echamos un vistazo?

Preparando la escena

La cuenta de YouTube que ofrece esta estafa tiene un poco más de 700 suscriptores, y el video en cuestión ya tenía más de 2,200 visitas el día después de haber sido subido.

fortbita aimbot video

Click para agrandar

Al hacer clic en el enlace, se envía a las posibles víctimas a una página en Sub2Unlock. Este sitio difiere de las páginas de encuestas típicas, donde normalmente haría clic en las ofertas o completaría las preguntas para obtener una recompensa teórica. En su lugar, le pide que pulse Suscribirse en el portal social de la persona que lo envía allí en primer lugar. Así que hay una diferencia, desde el principio.

sub para desbloquear

Click para agrandar

Otra diferencia interesante es que cualquier página de encuesta inicial requiere que completes físicamente una encuesta antes de avanzar. Sin hacer esto, no puedes acceder a un enlace de descarga.

Aquí, no tuvimos ninguna validación durante nuestras pruebas. Al hacer clic en el botón de suscripción, simplemente se abre la página de suscripción del canal de YouTube, pero no se comprueba nada para asegurarnos de que realmente nos suscribimos. Todo lo que teníamos que hacer en este momento era volver al sitio Sub2Unlock y hacer clic en el botón de descarga.

Desde aquí, los jugadores son llevados a un sitio ubicado en

bt-fortnite-trucos (punto) tk

sitio de trucos fortnite

Click para agrandar

Este sitio es un portal bastante atractivo que pretende ofrecer las herramientas de trucos deseadas, y tiene una buena oportunidad de convencer a los jóvenes de su legitimidad. Un poco más de clic en el botón, y las posibles víctimas son llevadas a un sitio de descarga más general que contiene lo que parece ser una gran cantidad de archivos junto con una amplia gama de anuncios.

enlace de descarga de malware fortnite

Click para agrandar

En lo que respecta al archivo malicioso en cuestión, en el momento de la redacción de este documento, se habían realizado 1.207 descargas. Eso es 1.207 descargas demasiadas.

Informacion del archivo

Malwarebytes detecta este archivo como Trojan.Malpack , una detección genérica dada a los archivos empaquetados de forma sospechosa. La carga útil real podría ser cualquier cosa, pero invariablemente no servirá de nada. En este caso, un poco de excavación nos mostró que la carga útil es un ladrón de datos.

Una vez que el archivo .EXE inicial (que pesa solo 168KB) se ejecuta en el sistema de destino, realiza una enumeración básica sobre los detalles específicos de la computadora infectada. Luego, intenta enviar datos a través de un comando POST a un archivo /index.php en la Federación Rusa, cortesía de la dirección IP 5 (punto) 101 (punto) 78 (punto) 169.

Algunas de las cosas más notables en las que se interesa son la información de la sesión del navegador, las cookies, las carteras de Bitcoin y también las sesiones de Steam.

una bolsa de mano

Click para agrandar

Curiosamente, también escribió esto a nuestro sistema de prueba:

estaciones de radio

Click para agrandar

… Grateful Dead, alguien?

La dirección IP que aparece arriba se ha visto muchas veces en relación con archivos temáticos / con nombres similares.

Muchos de los archivos contenidos en esta descarga están empaquetados de maneras completamente diferentes. Uno de ellos tiene un proceso llamado «Stealer.exe». Muchos más publican la información robada en /gate.php en lugar de index.php, que es un signo común de Zbot y algunos otros.

Si bien este archivo en particular probablemente no sea tan nuevo, aún va a hacer un poco de daño a cualquiera que entre. Combinarlo con la fiebre actual para el nuevo contenido de Fortnite es una receta para los datos robados y una gran cantidad de limpieza requerida después .

Como nota final, debemos mencionar el archivo Léame que acompaña a los anunciantes del ladrón, que pueden comprar trucos Fortnite adicionales por «$ 80 Bitcoin».

leeme

Click para agrandar

Teniendo en cuenta cómo las cosas de arriba se desarrollaron, aconsejamos a cualquier persona que tenga la tentación de hacer trampa para evitarlo. Ganar es genial, pero no vale la pena arriesgar una gran cantidad de información personal para hacer el trabajo.