Desde que el mundo es mundo, que los usuarios de video Juegos buscan la manera de poder hacer mas facil las partidas o aprovecharse de ciertos Trucos para pasar el juego mas rápido y eso lo saben bastante bien los actores maliciosos.
El equipo de investigación de Imperva detectó paquetes PiPy (Python Package Index) maliciosos, cuyos nombres son atractivos para los desarrolladores de mods y de "Game Hacks". En este caso los actores se aprovecharon de la popularidad que tiene, Da Hood, dentro de Roblox ya que se encuentra dentro de los mejores 20 juegos en la plataforma, con mas de 2.6 millones de visitas.
Muchos jugadores, incluidos los jugadores de Roblox (y Da Hood), optan por instalar trucos ('externos'), hacks y modificaciones ('mods') para mejorar su experiencia de juego. Los mods pueden cambiar la forma en que se ve o se comporta un juego, mientras que los trucos pueden permitir que el jugador obtenga ciertas ventajas durante el juego, como "aimlock", que mejora la precisión en los juegos de disparos. Con el tiempo, se han reunido vastas comunidades en varias plataformas como Reddit, YouTube y Discord, lo que permite a los jugadores intercambiar consejos y herramientas sobre mods y trucos para varios entornos de juego.
La distribución de este tipo de malware, se da por lo general dentro de los foros del juego, donde múltiples jugadores se dan tanto recomendaciones como herramientas para ganar sus partidas. Esto hace proliferar el malware e infectar a mas usuarios de la plataforma. La gran mayoría de estas herramientas tienen "disclaimer" donde solicitan a los usuarios que desactiven sus antivirus y herramientas de seguridad para que el "hack" funcione correctamente.
Inicios
Los investigadores de Imperva detectaron la amenaza en un paquete llamado pysleek. Los ingenieros se dieron cuenta que el paquete descarga un binario llamado zwerve.exe, el cual dentro del repositorio es eliminado y restaurado recurrentemente, esto con la idea de poder evadir la detección de malware por herramienta de escaneo automatizado.
Para dar mas confianza a los usuarios existía hasta un canal de YouTube llamado Zwerve Da Hood External el cual tenia videos de demostración de como utilizar la herramienta infectada. Además se detectó un canal de Discord con mas de 825 miembros activos.
Dentro del ejecutable se detectaron dos malware previamente conocidos "Blank Grabber" y Skuld Stealer".
Skuld Stealer
Skuld Stealer es un malware escrito en Go dirigido a sistemas Windows, diseñado para extraer datos confidenciales de Discord, navegadores y billeteras de criptomonedas. Utiliza la técnica fodhelper.exe, que explota la función de elevación automática de Windows para eludir el control de cuentas de usuario, elevar los privilegios y otorgar acceso a todas las sesiones de usuario en un sistema. Las características clave incluyen anti-depuración, evasión de antivirus y la capacidad de robar credenciales de inicio de sesión, cookies, tarjetas de crédito e historial de navegación de varios navegadores. También se dirige a los usuarios de Discord capturando códigos 2FA e interceptando solicitudes de inicio de sesión, mientras extrae datos de las billeteras de criptomonedas y reemplaza el contenido del portapapeles con direcciones criptográficas maliciosas. Además, recopila una gran cantidad de información del sistema y garantiza la persistencia al ejecutarse al inicio.
El malware Blank Grabber es un malware ladrón de información similar a Skuld, aunque se basa en python y C++. El portal de Imperva hace un análisis exhaustivo al malware en el siguiente link: Python’s Poisoned Package: Another ‘Blank Grabber’ Malware in PyPI | Imperva
Los proyectos de prueba de concepto (PoC) como Skuld Stealer y Blank Grabber introducen una paradoja significativa en el mundo de la ciberseguridad. Estas herramientas a menudo se crean con fines educativos y de investigación, lo que demuestra cómo se pueden usar herramientas maliciosas para robar secretos y obtener acceso remoto a los sistemas. Sin embargo, a pesar de su uso previsto para el bien, con frecuencia son cooptados por actores malintencionados con fines delictivos. Una vez publicados en el dominio público, los proyectos de PoC pueden servir como modelos para los actores maliciosos, lo que les permite alcanzar sus objetivos de forma más rápida y sencilla. Esta dualidad pone de manifiesto el reto de equilibrar la investigación abierta con el riesgo de empoderar a los ciberdelincuentes, ya que las herramientas destinadas a mejorar la seguridad suelen convertirse en armas contra los usuarios desprevenidos.
