Icono del sitio SpamLoco

Troyano que roba la dirección MAC si no estás en un ciber

Win32/Chekafe.A es un troyano downloader que tiene la capacidad de verificar si el equipo infectado se encuentra en un ciber-café o no, si no está en un ciber los ciberdelincuentes capturan su dirección MAC.

MAC: es un número único que identifica a cada tarjeta de red.


¿Cómo detectan si una máquina está en un ciber o no?

Una vez que el troyano infecta un equipo, verifica si hay instalado algún software administrador de cibers. Concretamente comprueba si los procesos BarClientView.exe, Barclient.exe, Eway.exe, NBClient.exe, NxpAuxSvc.exe, clsmn.exe y mzdclient.exe están presentes en el sistema, estos archivos pertenecen a programas muy utilizados en cibers de China.

¿Para qué realizan este control?

Luego de analizar el malware descargado por Chekafe (troyanos que roban contraseñas), un investigador de Microsoft llamado Chun Feng ha llegado a una conclusión muy interesante.

Algunos juegos online permiten la protección MAC de la cuenta, de esta forma sólo se puede acceder al juego desde una computadora (por la dirección MAC). Si el equipo se encuentra en un ciber-café, seguramente el usuario no habilite esta opción ya que no siempre accederá al juego desde la misma máquina.

De esta forma los ciberdelincuentes pueden robar credenciales de acceso y burlar los sistemas de protección MAC en los juegos.

El negocio…

Muchos juegos online cuentan con verdaderas economías virtuales (compra y venta de armas, poderes, etc) que también generan dinero en el mundo real, por lo tanto, si hay billetes no es extraño que los ciberdelincuentes estén interesados en atacar a los gamers y robar sus cuentas.

Si deseas leer más sobre el tema, Chun Feng publicó un documento (en inglés) donde analiza el mercado negro de las contraseñas de juegos y el funcionamiento de una familia de malwares (Dogrobot) que tiene la capacidad de «romper» una protección por hardware. No infectan archivos, pero han causado perdidas millonarias en los cibers de China.

Ver también:
Phishing para jugadores de World of Warcraft.

Salir de la versión móvil