¿Sabías que el 45% de los usuarios de Roblox tienen menos de 13 años, por lo que los dispositivos infectados y los datos comprometidos podrían ser los de sus padres? Pues ThreatLabz, el equipo de investigación Zscaler, ha identificado una nueva campaña de malware dirigida a los usuarios de Roblox, una plataforma de juegos online que utilizan a diario 71,5 millones de usuarios en todo el mundo. Tweaks (o Tweaker) es el nombre de este malware encargado de robar información, que se está distribuyendo a través de plataformas legítimas como YouTube y Discord, lo que se traduce en una seria amenaza para la seguridad digital de los usuarios.
Dado que el 45% de los usuarios de Roblox tienen menos de 13 años, existe una gran probabilidad de que el malware se instale en dispositivos de padres/adultos en los que puede haber información de sus empresas, por lo que una infección exitosa no solo compromete los datos de la cuenta de Roblox, sino también otros datos corporativos y el propio dispositivo.
Mejorar la optimización de fotogramas por segundo (FPS, por sus siglas en inglés) es un factor muy atractivo para los usuarios de Roblox que pueden jugar con mayor fluidez y con un rendimiento óptimo. Es muy habitual que los jugadores descarguen herramientas de optimización de plataformas populares como YouTube y Discord para aumentar el rendimiento de su hardware, lo que hace más probable que un jugador descargue involuntariamente el malware Tweaks
Los ciberdelincuentes utilizan YouTube para atraer a los usuarios con vídeos relacionados con “cómo aumentar FPS” que contienen enlaces a sus grupos de Discord, donde aprovechan para distribuir enlaces con archivos maliciosos bajo la apariencia de ajustes y modificaciones del juego. A través de las plataformas legítimas, evaden la detección mediante listas de bloqueo de filtros web que normalmente bloquean servidores maliciosos conocidos. Asimismo, comparten archivos maliciosos disfrazados de paquetes de FPS con los usuarios y, a su vez, esos jugadores infectan sus propios sistemas con el malware Tweaks.
¿Cómo opera Tweaks?
El ladrón Tweaks utiliza Powershell y extrae datos confidenciales como información del usuario, ubicación, perfiles y contraseñas de Wi-Fi, ID de Roblox y detalles de la moneda del juego. Una vez que se obtienen los datos confidenciales, se envían a través de un webhook de Discord al servidor controlado por el ciberdelincuente. Los investigadores de ThreatLabz descubrieron que se copian y venden versiones “gratuitas” y “de pago” de Tweaks, aunque ambas versiones funcionan de manera similar, robando datos y comprometiendo la seguridad del usuario.
“Debido a la gran popularidad de Roblox, no nos sorprende que los ciberdelincuentes busquen explotar y monetizar datos confidenciales de los usuarios, quienes, como muchos otros jugadores, almacenan una gran cantidad de datos en sus cuentas de juego. Para mitigar estos riesgos, los jugadores deben priorizar el uso de aplicaciones legítimas de fuentes seguras y fiables para protegerse de posibles amenazas de malware. Por ello, pedimos a los jugadores de la plataforma y a la comunidad en general que sean cautelosos al descargar aplicaciones o archivos de fuentes no verificadas”, explican desde el equipo de ThreatLabz.