Baldr, una nueva familia de malware que roba datos a gamers
- Endpoint
Los datos robados incluyen contraseñas, carteras de bitcoins, perfiles VPN e datos de hasta 22 navegadores. Las víctimas de este malware tenían cuentas de correo electrónico en Gmail, Hotmail y Yahoo, siendo Google, Facebook, Live y Amazon los servicios en los que más contraseñas se robaron.
Los gamers llevan tiempo en el punto de mira de los cibercriminales, como objetivos con los que monitorizar el robo de información y de credenciales de juegos online. Pues bien, SophosLabs ha investigado una familia de malware de alcance mundial denominada Baldr, que se ofrecía a la venta en foros rusos de la Deep Web relacionados con ciberdelitos y que eran comprados por los ciberdelincuentes más inexpertos que los distribuían ofreciéndolos como herramientas para gamers.
La familia de malware Baldr incluye un troyano que se ofrecía como una herramienta para conseguir ventajas en diferentes juegos online, como Counter-Strike o Apex Legends. A través de vídeos de Youtube, archivos comprimidos .ace o documentos Office alojados para su descarga, se buscaba atraer a potenciales víctimas gamers que descargaban la herramienta que contenía oculto el troyano Baldr. Una vez descargado, el troyano recopilaba en tan solo 30 segundos toda la información y las credenciales consideradas de valor que eran recopiladas tanto por el creador del malware como por su distribuidor. El troyano accedía a la información del dispositivo y de localización, carteras de bitcoins, perfiles VPN, clientes FTP y es capaz de reunir las contraseñas y las cookies almacenadas en hasta 22 navegadores diferentes.
Las víctimas de Baldr están expuestas al robo de identidad o al fraude en tarjetas de crédito, además del robo de credenciales en todo tipo de servicios utilizados a menudo por cualquier usuario: redes sociales, almacenamiento de archivos, streaming, tiendas online y, sobre todo, servicios de juegos online.
De entre todas las credenciales robadas, la investigación desvela que los dominios de email en los que es más frecuente el robo por parte de los ataques Baldr son Gmail.com, Hotmail.com y yahoo.com. Por su parte, los servicios donde más contraseñas fueron robadas son Google, Facebook, Live y Amazon, además de servicios de juegos online y plataformas relacionadas.
A pesar de que el impacto de este malware se mantiene relativamente bajo, en comparación con la distribución de otras amenazas como Trickbot, su alcance es mundial y ya no sólo afecta a usuarios gamers, sino que se ha extendido a una variedad mayor de software. Según los datos de SophosLabs, los países más afectados son Indonesia, donde más del 21% de la población ha sido víctima de este ataque, Estados Unidos (10,5%), Brasil (14,1%), Rusia (13,4%), India (8,8%) y Alemania (5,4%).
A pesar del acelerado aumento inicial del malware –se calcula que se han podido vender alrededor de 200 licencias para utilizar Baldr–, el enfrentamiento entre el desarrollador del malware y su principal distribuidor han provocado su caída. Sin embargo, el malware sigue funcionando y desde SophosLabs no descartan su reaparición bajo otro nombre.
“Queda por ver si Baldr ha sido un malware con una gran popularidad pasajera que alcanzó su punto álgido y luego cayó debido a una pelea entre ciberdelincuentes o si regresará como una amenaza a largo plazo. Sin embargo, su propia existencia es un buen recordatorio de que incluso los fragmentos de código de malware robados, unidos para crear un ‘monstruo de malware como un Frankstein’ pueden ser increíblemente efectivos para irrumpir, robar todo tipo de información y salir corriendo de nuevo”, afirma Albert Zsigovits, investigador de amenazas de SophosLabs.
