Tag Cracks

Spoiler: nada bueno. Junto con el software pirateado, probablemente encontrarás un minero, un ladrón o una puerta trasera.

¿Qué haces cuando necesitas un programa, pero aún no puedes comprar la licencia oficial? Respuesta correcta: “Utilizar la versión de prueba” o “Encontrar una alternativa gratuita”. Respuesta incorrecta: “Buscar una versión crackeada en Internet”.

Se sabe que existen fuentes alternativas poco fiables que ofrecen versiones crackeadas del software, además de otras sorpresas. Después de haber navegado por sitios repletos de anuncios, puede que obtengas el programa que deseas (generalmente sin futuras actualizaciones y funcionalidad de red), pero con un minero, un ladrón o cualquier otra cosa incluida por si acaso.

Basándonos en ejemplos de la vida real, explicamos por qué debes evitar los sitios que ofrecen descargas instantáneas de programas muy solicitados.

Minero y ladrón en SourceForge

SourceForge fue alguna vez el sitio más grande para todo lo relacionado con código abierto. En cierto sentido fue el precursor de GitHub. Pero no pienses que SourceForge está muerto: hoy ofrece servicios de alojamiento y distribución de software. En su portal de software hay múltiples proyectos, subidos por cualquier persona que lo desee.

Y, al igual que con GitHub, este cosmopolitismo es lo que constituye un obstáculo para la seguridad de alto nivel. Consideremos solo un ejemplo: nuestros expertos encontraron en SourceForge un proyecto llamado officepackage. A primera vista, parece inofensivo: descripción clara, nombre sensato e incluso una reseña positiva.

Página de “Officepackage” en SourceForge

Pero ¿qué sucede si te decimos que la descripción y los archivos fueron copiados directamente de un proyecto no relacionado en GitHub? Las alarmas ya están sonando. Dicho esto, no entra ningún malware a tu ordenador cuando haces clic en el botón Descargar: el proyecto está aparentemente limpio. Al parecer, es porque la carga maliciosa no se ha distribuido directamente a través del proyecto officepackage, sino a través de la página web asociada a él. ¿Cómo es esto posible?

El hecho es que cada proyecto creado en SourceForge obtiene su propio nombre de dominio y alojamiento en sourceforge.io. Entonces, a un proyecto llamado officepackage se le proporciona una página web en officepackage.sourceforge[.]io. Estas páginas son fácilmente indexables por los motores de búsqueda y aparecen en los primeros lugares de los resultados de búsqueda. Así es como los atacantes atraen a sus víctimas.

Al visitar officepackage.sourceforge[.]io desde un motor de búsqueda, los usuarios eran llevados a una página que ofrecía descargas de casi cualquier versión del paquete Microsoft Office. Pero, como siempre, el diablo está en los detalles: si pasabas el cursor sobre el botón Descargar, la barra de estado del navegador mostraba un enlace a https[:]//loading.sourceforge[.]io/download. ¿Has visto la trampa? El nuevo enlace no tiene nada que ver con officepackage; la carga es un proyecto completamente diferente.

El botón “Descargar” de la página “officepackage” en el portal de software SourceForge conduce a un proyecto completamente diferente.

Además, después de hacer clic, los usuarios eran redirigidos no a la página del proyecto de carga, sino a otro sitio intermediario con otro botón de Descarga. Y solo después de hacer clic aquí, el usuario, cansado de navegar, finalmente recibía un archivo: un archivo comprimido llamado vinstaller.zip. Dentro había otro archivo comprimido y dentro de este segundo archivo había un instalador malicioso de Windows.

En el corazón de esta malvada muñeca rusa había dos cosas desagradables: en lugar de productos de Microsoft, se liberaban un minero y ClipBanker (un malware para sustituir direcciones de carteras de criptomonedas en el portapapeles) en el dispositivo de la víctima después de ejecutar el instalador. Para conocer más detalles sobre el esquema de infección, consulta la versión completa del estudio en nuestro blog Securelist.

Instalador malicioso de TookPS camuflado de software legítimo

Los ciberdelincuentes no se limitan a SourceForge y GitHub. En otro caso reciente descubierto por nuestros expertos, se ha revelado que los atacantes distribuían el descargador malicioso TookPS, que ya conocíamos por los clientes falsos DeepSeek y Grok, utilizando sitios web falsos con descargas gratuitas de software especializado. Descubrimos toda una serie de sitios de este tipo que ofrecen a los usuarios versiones crackeadas de UltraViewer, AutoCAD, SketchUp y otros programas profesionales populares, lo que significa que el ataque estaba dirigido no solo a usuarios domésticos, sino también a profesionales autónomos y organizaciones. Entre otros archivos maliciosos detectados se encontraban los nombres Ableton.exe y QuickenApp.exe, supuestas versiones de las famosas aplicaciones de creación musical y gestión de dinero.

Páginas falsas que distribuyen TookPS

Por medios indirectos, el instalador había descargado dos puertas traseras en el dispositivo de la víctima: Backdoor.Win32.TeviRat y Backdoor.Win32.Lapmon. Consulta otra publicación de Securelist para descubrir exactamente cómo había llegado el malware al dispositivo de la víctima. Mediante el malware, los atacantes obtuvieron acceso completo al ordenador de la víctima.

Cómo protegerse

En primer lugar, no descargues software pirateado. De ninguna manera. Nunca. Un programa pirateado puede ser tentadoramente gratuito y estar disponible al instante, pero el precio que pagarás no se medirá en dinero, sino en datos: los tuyos. Y no, eso no significa fotos familiares y charlas con amigos. Los ciberdelincuentes están detrás de tus billeteras de criptomonedas, detalles de tarjetas de pago, contraseñas de cuentas e incluso los recursos de tu ordenador para minar criptomonedas.

Aquí hay una lista de reglas que recomendamos para cualquiera que use SourceForge, GitHub y otros portales de software.

• Si no puedes comprar la versión completa de una aplicación, utiliza alternativas o versiones de prueba, no software crackeado. Es posible que no obtengas la funcionalidad completa, pero al menos la seguridad de tu dispositivo estará garantizada.
• Descarga programas únicamente de fuentes fiables. Como lo demuestra la práctica de SourceForge y GitHub, incluso en ese caso, debes proceder con cautela y analizar todos los archivos descargados con un antivirus.
• Protege tus criptomonedas y datos bancarios con herramientas fiables. Trata las billeteras virtuales con la misma consideración que las físicas.

Fuente: www.latam.kaspersky.com

ESET analiza cómo funcionan los cracks y cheats en los videojuegos y a qué riesgos se puede estar expuesto al utilizarlos.

cuador ­– Las compañías detrás de los videojuegos suelen estar en la carrera contra los productores tanto de cracks como de cheats. Por ejemplo, en enero de 2023 Activision ganó una demanda contra EngineOwning, un conocido proveedor de cheats para juegos como Call of Duty. El tribunal ordenó a EngineOwning pagar una compensación millonaria por daños, sentando un precedente. ESET, compañía líder en detección proactiva de amenazas, analiza algunos casos en los que se distribuían códigos maliciosos y el riesgo que representan.

Un aimbot en funcionamiento. Fuente: Medium

Cuando se habla de cracks, se trata de programas que alteran archivos específicos de un juego o del software que se desea crackear. Estos archivos suelen ser ejecutables (.exe en Windows) o librerías dinámicas (.dll en Windows, .so en Linux). Son las piezas del software que contienen las instrucciones que el sistema operativo ejecuta para hacer funcionar el juego.

Un crack podría modificar el archivo ejecutable principal del juego y eliminar la verificación de la licencia al modificar secciones del código que comprueban si se ingresa una clave válida o si el juego se ejecuta en un entorno de prueba. El crack reescribe estas secciones del código para que siempre devuelvan un resultado positivo, incluso si no se ha comprado el juego o no se ha ingresado la clave correcta.

Los cheats, pueden modificar archivos de configuración que contienen datos del juego (como tablas de estadísticas), o incluso introducir nuevos archivos en el sistema del juego. Un cheat podría modificar un archivo que controla las estadísticas de los personajes para otorgar al jugador salud infinita o munición ilimitada.

Otra técnica, es la inyección de código en la memoria. Cuando un juego se está ejecutando, partes del código del juego y los datos relacionados (como la posición del jugador, la salud, etc.) residen en la memoria. Los cheats que inyectan código en la memoria modifican estos datos en tiempo real. Por ejemplo, puede buscar en la memoria del juego el valor que representa la cantidad de munición que tiene el jugador y, una vez localizado, sobrescribe este valor con un número mayor, dándole al jugador munición infinita.

Cuando un crack o un cheat modifica archivos ejecutables o librerías dinámicas, está alterando directamente el código que el software original usa para funcionar. Este comportamiento es muy similar a una técnica maliciosa, en donde ciertos tipos de malware modifican archivos ejecutables benignos para insertar su propio código. Cada vez que el archivo se ejecuta, acciones maliciosas lo hacen con este. Además, los cracks y cheats suelen necesitar modificar verificaciones de seguridad puestas por el mismo juego para evitar alteraciones. Ya sea una firma digital o una protección de licencia, un software de protección podría interpretar ese “envenenamiento” como producto de una acción maliciosa.

“Entendiendo el funcionamiento de este tipo de archivos, un software de protección los detectaría como códigos maliciosos sin importar si realiza o no acciones dañinas. Tanto la modificación de archivos críticos como la inyección de código en la memoria son técnicas que pueden ser utilizadas tanto por software legítimo como por malware. Sin embargo, debido a su potencial para causar daño, estas técnicas suelen ser tratadas con sospecha por los programas antimalware.”, comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

En cuanto a la inyección de código en memoria, existen varios focos que alarman a un software de seguridad:

• Amenazas como los troyanos y rootkits a menudo inyectan su propio código en la memoria de otros procesos para ocultarse y tomar control del sistema. Esto les permite operar en segundo plano sin ser detectados. Dado que los cheats y algunos cracks también inyectan código en la memoria para modificar el comportamiento del juego, los antimalware pueden detectar este comportamiento como indicativo de una amenaza.

• La técnica de “hooking” es común en exploits y malware avanzado que intentan interceptar y manipular datos sensibles. Por lo tanto, cualquier intento de inyección de código que altere el flujo de ejecución es visto con sospecha.

• Muchos programas antimalware incluyen técnicas de protección contra exploits, que están diseñadas para prevenir la inyección de código en la memoria. Si un cheat intenta inyectar código y activar comportamientos que estos mecanismos están diseñados para prevenir, el antimalware lo detectará y bloqueará, identificándolo como una amenaza potencial.

Malware escondido

Existen campañas maliciosas en las que un desarrollador puede ocultar malware dentro de un crack o cheat de manera astuta, aprovechando la confianza del usuario en la funcionalidad aparente del software. Aunque cumpla con su objetivo principal, como desbloquear características de un juego o proporcionar ventajas ilegales, puede llevar consigo un código oculto diseñado para causar daño.

Además, los desarrolladores maliciosos pueden emplear técnicas avanzadas de evasión, ocultando el malware en capas de cifrado que se descifran únicamente en la memoria durante la ejecución del crack. También es posible que el malware modifique archivos críticos del sistema o del juego, estableciendo su persistencia incluso si el juego es desinstalado.

Esta combinación de técnicas hace que el malware incrustado en un crack o cheat sea especialmente peligroso, ya que el usuario puede estar disfrutando de las ventajas que el software proporciona, mientras en segundo plano su sistema es comprometido de maneras que pueden tener consecuencias graves y duraderas.

“Más allá de violar las políticas de uso de los videojuegos, los cracks y cheats también representan un grave riesgo de seguridad para los usuarios, por las funciones que realizan. Detrás de la promesa de desbloquear contenido o ventajas, podrían ocultarse programas maliciosos diseñados para comprometer el sistema, robar datos sensibles o instalar más software dañino. La sofisticación de estas amenazas, junto con su capacidad para evadir detección, subraya la importancia de evitar el uso de software no autorizado y confiar únicamente en fuentes legítimas y seguras.”, concluye Lopez de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador