
Estafa creciente dirigida a los usuarios de Itch.io
Informes recientes de Malwarebytes han llamado la atención sobre una inquietante estafa que afecta a la comunidad de jugadores de la plataforma independiente Itch.io. Los autores de esta estafa se aprovechan de la confianza entre jugadores y desarrolladores independientes haciéndose pasar por juegos populares, como Archimoulin.
Cómo funciona la estafa
El proceso comienza cuando los estafadores usan cuentas comprometidas en plataformas de comunicación confiables como Discord. Esta táctica aumenta la probabilidad de que las víctimas potenciales confíen y hagan clic en los enlaces maliciosos proporcionados.
Al hacer clic, los usuarios son redirigidos a una página web engañosa que imita el diseño de Itch.io, a menudo alojada en subdominios de Blogspot o servicios de enlaces en la nube. En variantes más avanzadas de la estafa, las víctimas pueden acceder a una página de inicio de sesión de Discord falsa para obtener sus credenciales de inicio de sesión. Esto no solo compromete la cuenta de la víctima, sino que también permite a los estafadores enviar más mensajes maliciosos.
Descargas maliciosas y tácticas de evasión
Las víctimas que accedan a la página del juego fraudulento verán un botón de descarga, pero en lugar de descargar el juego deseado, recibirán sin darse cuenta un archivo llamado Setup Game.exe
. Este ejecutable está diseñado para funcionar sin ninguna interfaz de usuario visible, como un asistente de instalación o una barra de progreso, por lo que es fácil de pasar por alto.
Este programa malicioso activa PowerShell y ejecuta un comando codificado, ocultando los scripts dañinos de la detección inmediata. Al ejecutar el código directamente en la memoria, a los antivirus tradicionales les resulta más difícil identificar la amenaza. Además, el uso de un truco de. NET permite que la ventana de PowerShell permanezca oculta al usuario.
Para dificultar aún más la intervención de los usuarios, el malware emplea un taskkill
comando para cerrar forzosamente navegadores web populares como Chrome, Firefox, Brave, Edge y Opera. Esto impide que los usuarios busquen información rápidamente o detenga el proceso de instalación.
El nivel de amenaza y las acciones recomendadas
Este malware actúa como un stager o cargador que no se comunica inmediatamente con servidores externos. En su lugar, realiza comprobaciones, como examinar las entradas del registro y la BIOS o las configuraciones de red, para asegurarse de que está operando en un equipo legítimo, no en un entorno sandbox controlado. Cuando las condiciones lo permiten, este componente oculto descarga cargas útiles maliciosas adicionales, que podrían incluir puertas traseras, keyloggers o mineros de criptomonedas.
Malwarebytes recomienda a cualquier persona que ejecute el archivo malicioso que tome medidas inmediatas. Es fundamental:
- Cambiar las contraseñas de las cuentas de Discord, correo electrónico y Steam.
- Habilite la autenticación de dos factores desde un dispositivo seguro.
- Cerrar sesión en todas las sesiones activas.
- Revocar cualquier aplicación o token de terceros autorizados.
- Desconecte la máquina afectada de Internet.
Manténgase alerta ante los enlaces no solicitados
Si le preocupa esta amenaza constante, esté atento a los mensajes directos inesperados que contienen enlaces de descarga de juegos sospechosos, así como a cualquier comportamiento extraño del navegador, como bloqueos o la aparición repentina de nuevas carpetas. En el desafortunado caso de que su sistema se vea comprometido, se recomienda encarecidamente reinstalar Windows por completo.
Para más detalles, visite el informe completo en el sitio web de Neowin.
Deja una respuesta