Inyectan malware en cheats atacando motores de videojuegos basados en Lua

El 2024 ha visto un alarmante aumento de ataques a gamers que descargan trampas (cheats) para videojuegos. Lo que inicialmente parece ser una ventaja dentro del juego, termina siendo una puerta abierta para que el malware, escrito en Lua, infecte sus sistemas. Este tipo de malware tiene como objetivo persistir en el sistema, robar información y comunicarse con servidores de comando y control (C2), permitiendo a los atacantes ejecutar tareas maliciosas, como la minería de criptomonedas o el robo de datos.

La comunidad gamer: un objetivo en crecimiento

A mediados de 2024, se reportó que este malware se estaba expandiendo rápidamente por la comunidad gamer, afectando principalmente a usuarios de videojuegos populares como Roblox, que emplean motores de juego basados en Lua. Este lenguaje de programación, conocido por su versatilidad, es muy utilizado para el desarrollo de scripts en videojuegos. Sin embargo, su misma flexibilidad ha sido aprovechada por los atacantes, quienes dirigen estos ataques a una audiencia más joven y menos informada en ciberseguridad.

¿Cómo funciona el ataque?

El método de distribución común de este malware es a través de archivos comprimidos (ZIP), que suelen incluir un compilador Lua, un script malicioso ofuscado, y un archivo por lotes con código dañino. Este último, que ejecuta el código Lua, está diseñado para comunicarse con el servidor C2 del atacante. Utiliza técnicas de detección de modificación de código para evitar la ingeniería inversa, generando errores deliberadamente cuando se intenta modificar el script.

Además, se emplea la librería ffi, que permite ejecutar código C desde Lua, lo que facilita el uso de funciones nativas de Windows para manipular registros del sistema o ejecutar programas. A través de este mecanismo, el malware puede mantener su persistencia, bloquear intentos de eliminación, y continuar recopilando información del sistema infectado.

Ofuscación avanzada y evasión

Una de las técnicas más peligrosas utilizadas por este malware es la ofuscación con Prometheus, que complica su análisis y dificulta la eliminación. Además, se emplea la sincronización mediante mutex para gestionar los recursos del sistema, asegurando que solo un proceso acceda a los datos críticos, manteniendo el control del dispositivo infectado y permitiendo la ejecución de nuevas tareas enviadas por el servidor C2 en caso de interrupciones.

Distribución disfrazada de trampas para videojuegos

Los atacantes utilizan técnicas SEO y publicidad engañosa para distribuir estos scripts maliciosos, haciéndose pasar por herramientas legítimas de trampas para juegos como Electron o Solara, populares en la comunidad de Roblox. Estas trampas falsas suelen alojarse en plataformas como GitHub, donde los usuarios descargan, sin saberlo, el malware.

Riesgos y recomendaciones

El uso de cheats en videojuegos no solo infringe las normas de las plataformas, sino que también puede comprometer gravemente la seguridad de los dispositivos. Los jugadores, especialmente los más jóvenes y aquellos con menos conocimientos en ciberseguridad, deben ser cautelosos al descargar herramientas de terceros. A menudo, estas trampas están diseñadas para aprovecharse de los recursos del sistema y exponer datos sensibles al atacante.

Es fundamental educar a la comunidad gamer sobre los riesgos de descargar software no oficial y sobre la importancia de mantener actualizados los sistemas de seguridad y antivirus para evitar ser víctimas de estos ataques.

Más información:

• Gamers Tricked Into Downloading Lua-Based malware via Fake Cheating Script Engines

• Lua Malware Targeting Students and the Gaming Community

• Not All Fun and Games: Lua Malware Targets Educational Sector and Student Gaming Engines

• Lua malware uses game cheats to target gamers

• Lua Game Engines