La compañía de seguridad Informática, ESET, analiza recientes casos de cracks de distinto tipo de software utilizados para distribuir malware.
Por su naturaleza, el crack es tan antiguo como los programas de pago: las primeras protecciones implementadas para evitar el cracking de programas datan de la década de los 80, en dispositivos como la Commodore 64. Desde ese entonces, es posible encontrar cracks implementados de diferentes maneras para todo tipo de programas o aplicaciones. ESET analiza casos recientes de juegos como The Sims, GTA V, NBA 2k19, así como Windows 10, Office 365, o programas como Adobe Photoshop, Kontakt, Massive utilizados para distribuir malware.
Se le llama crack informático a un parche que se aplica a un programa, alterando su estructura o las funcionalidades. Usualmente, el objetivo de estas modificaciones es evadir un control o acción requerida por los desarrolladores para poder acceder a más funcionalidades o seguir utilizando este producto, como activar una licencia de pago. La distribución de programas crackeados, actividad que se conoce como piratería, es ilegal en casi todo el mundo ya que se violan los derechos de autor.
“Permitir que un archivo desconocido adultere un programa o aplicación puede traer consecuencias no solo negativas, sino contraproducentes o peligrosas para los dispositivos. Históricamente, la descarga de programas o contenido adicional distribuidos por sitios con arquitectura P2P o streaming (por ejemplo, aquellos denominados Torrents) en un contexto de piratería fue y sigue siendo una de las principales vías de infección en campañas masivas en contraposición a las campañas dirigidas.”, comenta Martina López, Investigadora de seguridad informática de ESET Latinoamérica.
ESET repasa algunos casos de amenazas distribuidas a través de cracks en los últimos dos años, algunas de ellas activas, para analizar el potencial daño que puede causar la instalación de cracks en los equipos.
LoudMiner: un minero que sigue activo
En este caso, los atacantes utilizan para distribuir el malware cracks de diversos plugins VST, que son programas para interpretar instrumentos musicales y efectos de audio de manera digital, como Kontakt, Massive, así como software para trabajar con audio, como Ableton Live, entre muchos otros más.
Este malware es un minero de criptomonedas, un código malicioso que utiliza los recursos físicos del equipo víctima para minar criptomonedas sin consentimiento del usuario infectado. “El uso de VST generalmente demanda un nivel de procesamiento alto y, por lo tanto, el consumo de recursos del CPU es intenso y constante, similar a como puede ser el consumo de un minero de criptomonedas. Por esta razón, teniendo en cuenta que ambos escenarios consumen muchos recursos del procesador y esto provoca un rendimiento más lento del equipo, puede que la actividad del minero no llame especialmente la atención de la víctima. Algo similar ocurre con archivos de gran tamaño, los cuales son creados tanto por la amenaza como el programa real.”, detalla López de ESET.
El falso crack se descarga como una carpeta, conteniendo un programa de virtualización, un archivo de imagen del sistema operativo Linux y archivos adicionales que aseguran la persistencia de la amenaza. Una vez seguidas las instrucciones que el cibercriminal adjunta, se instala en el equipo tanto LoudMiner como el plugin real, y la amenaza genera persistencia modificando características propias del sistema operativo. El minado comienza una vez finalizada la instalación, luego de que la amenaza ejecute la máquina virtual con Linux que viene adjunta en la carpeta descargada. Este malware contaba con al menos tres versiones para macOS y una para Windows, con funcionalidades similares en ambos sistemas.
Ransomware Exorcist 2.0
Ha estado distribuyéndose durante 2020 detrás de un falso crack o activador gratuito de Windows 10 y Office 365. Al momento del hallazgo el crack se ofrecía en un sitio web que a su vez era anunciado en otros sitios de publicidad fraudulenta.
La descarga consiste en una imagen (ISO), un archivo .zip protegido con contraseña, y un archivo .txt que contiene el código de desbloqueo del archivo comprimido, que es donde supuestamente se aloja el crack. Esta protección, cuentan de ESET, es utilizada por los cibercriminales para evadir el bloqueo al momento de la descarga de cualquier solución de seguridad instalada en el dispositivo.
Siguiendo las instrucciones del atacante, la víctima ejecuta el supuesto instalador dentro de la carpeta protegida. Este desata a la amenaza, de un ransomware clásico: cifra todo archivo que encuentre en el equipo infectado, le informa a la víctima del ataque y adjunta una nota donde se indican los pasos a seguir para realizar el pago.
Pie de foto: Ejemplo de equipo infectado. Fuente: Nao_Sec vía Twitter
Los cibercriminales proporcionan a la víctima un enlace a un sitio en la red TOR donde se le indica a la víctima el monto a pagar en Bitcoin y las instrucciones para realizarlo. Además, se ofrece la posibilidad de descifrar un archivo de prueba. Los pagos varían, según la cantidad de archivos infectados, entre los 250 y 10.000 dólares.
Crackonosh
Malware para minería de criptomonedas. Este minero ha sido distribuido en grandes cantidades como supuestas copias de juegos crackeados en su versión gratuita: GTA V, NBA 2k19, The Sims, entre otros.
Esta descarga contiene un archivo ejecutable, responsable de ejecutar la amenaza y simular la instalación del juego. En este caso, el malware realiza modificaciones en los registros del sistema para asegurar persistencia, y obligar al equipo a iniciar en modo seguro en el próximo reinicio. “Este paso no es casualidad: el modo seguro de Windows deshabilita, especialmente, cualquier solución antimalware o antivirus instalada en el dispositivo. Además de esto, busca y elimina cualquier programa o aplicación que tenga como desarrollador a compañías especializadas en productos de seguridad de la información.” agrega la investigadora de ESET. Finalmente, comienza el minado de Monero en el equipo utilizando XMRig, un conocido minero que es muy utilizado por los cibercriminales.
Crackonosh sigue en circulación en 2021, se estima que lleva infectados a más de 200 mil usuarios a nivel global y que desde mediados de 2018 hasta ahora ha permitido a los operadores obtener cerca de 2 millones de dólares en monero.
Troyano sin nombre
En junio de este año investigadores descubrieron un troyano sin nombre que se distribuye a través cracks de software como Adobe Photoshop y videojuegos, que logró infectar a más de 3.2 millones de computadoras entre 2018 y 2020.
El malware sin nombre logró robar más de 26 millones de credenciales de inicio de sesión y más de un millón de direcciones de correo únicas, entre otro tipo de información. El hallazgo fue producto de un error de los operadores detrás de este malware, que revelaron detalles sobre la ubicación de una base de datos que contenía 1.2 TB de información robada. Este troyano personalizado tiene la capacidad de tomar fotografías del usuario si el dispositivo cuenta con una webcam.
“Como podemos ver, los cracks realmente suponen un riesgo para la seguridad y, como hemos visto, siguen siendo utilizados por cibercriminales para distribuir malware. Por lo tanto, descargar e instalar cracks de videojuegos u otro tipo de software conlleva ciertos riesgos para la seguridad que deben ser considerados por los usuarios. Desde ESET, como un primer paso, descargar contenidos siempre de sitios oficiales, mantener actualizados todos los sistemas, contar con una solución de seguridad instalada en los dispositivos, conocer los riesgos permite que podamos evitar ser victimas de engaños y disfrutar de internet de manera segura”, concluye López de ESET Latinoamérica.