Ciberataques a jugadores retro: cuidado con el malware en GitHub
Publicado el
Aumento de riesgos para los aficionados a los videojuegos retro
Los aficionados a los videojuegos retro deben ser especialmente cautelosos con los proyectos que aparecen en GitHub, los cuales afirman ser herramientas o plugins para sus consolas. Los cibercriminales han encontrado una forma de disfrazar malware ordinario como software de homebrew, aprovechando la popularidad de las plataformas retro, no limitándose solo a una consola específica.
Un ejemplo reciente se centra en los propietarios de PlayStation Vita. Un proyecto falso, denominado EQVita, se presenta como una herramienta de audio gratuita, pero en realidad ejecuta malware de Windows en el ordenador del usuario. Este proyecto aparenta ser un plugin normal, con un README bien elaborado, un botón de descarga y capturas de pantalla atractivas. Sin embargo, el archivo descargado no contiene nada relacionado con la Vita; en su lugar, incluye tres archivos de Windows, entre los cuales un texto aparentemente inofensivo es en realidad un script oculto que se conecta al servidor del atacante al ejecutarlo.
Métodos de ataque
No es un caso aislado. Investigadores han observado cómo los atacantes utilizan repositorios falsos en GitHub, adornados con descripciones generadas por IA, para difundir un tipo de malware conocido como SmartLoader, que a su vez puede instalar malware que roba contraseñas y billeteras, como Lumma Stealer. El ejemplo de EQVita sigue este mismo método, adaptándose a los intereses de los fans de los videojuegos retro.
Un análisis comparativo muestra la diferencia entre un repositorio falso y uno legítimo. La versión real de EQVita está en 1.10, mientras que la falsa se presenta como 1.3. Aunque a simple vista 1.3 podría parecer más reciente, en realidad 1.10 es la versión más actual, lo que demuestra cómo los atacantes manipulan la numeración para engañar a los usuarios.
La comunidad de PS Vita como objetivo
La PlayStation Vita puede no ser relevante para todos, pero cuenta con una comunidad activa que sigue desarrollando software para ella, a pesar de que Sony dejó de fabricarla. Los aficionados han creado emuladores, gestores de archivos y plugins, lo que ha revitalizado el interés en esta consola retro. El aumento de la demanda ha elevado los precios de las Vitas de segunda mano, convirtiéndolas en objetos de colección buscados.
La confianza que tienen los usuarios en los desarrolladores individuales es lo que los atacantes aprovechan. Un falso "plugin de Vita" se convierte en una forma sencilla de hacer que los usuarios ejecuten software que normalmente no considerarían.
Cómo opera el engaño
El archivo descargado EQ_Vita_v1.3.zip contiene tres archivos: Launch.bat, luajit.exe y x64.txt. El truco reside en que luajit.exe es un programa legítimo que ejecuta scripts, mientras que el archivo x64.txt no es un texto, sino un script oculto que se ejecuta al abrirlo. Este tipo de técnica se ha observado también en campañas como SmartLoader, donde el archivo peligroso está disfrazado entre otros elementos legítimos.
Cuando se ejecuta, el script verifica la ubicación del ordenador y se conecta a un servidor en línea, enviando datos y recibiendo instrucciones. Un plugin de audio no debería realizar esas acciones, lo que pone de manifiesto el comportamiento típico de un loader de malware: contactar con el servidor del atacante para recibir las siguientes instrucciones y descargar más malware, generalmente enfocado en robar información sensible.
Identificación de amenazas
La mayoría de los plugins legítimos para Vita se instalan directamente en la consola, y suelen ser archivos del tipo .skprx o .vpk. Algunas herramientas útiles funcionan en PC, por lo que un programa de Windows no es automáticamente dañino. Es fundamental verificar la reputación del archivo antes de ejecutarlo. Se debe considerar si es conocido, ampliamente utilizado y recomendado por fuentes confiables de la comunidad.
Además, es importante desconfíar de la presentación excesivamente atractiva que incite a realizar descargas rápidas. Los repositorios falsos suelen utilizar texto generado por IA, que a menudo se asemeja a contenido publicitario, lleno de emojis y frases amigables, lo cual debe ser una señal de alerta.
Recomendaciones finales
Para protegerse de estos engaños, conviene hacer algunas comprobaciones: - Asegurarse de que el archivo sea adecuado para la consola y verificar las herramientas de PC. - Desconfiar de la estética de "descarga inmediata" y buscar información adicional sobre el proyecto antes de proceder.
La comunidad de videojuegos retro, aunque entusiasta y apasionada, debe mantenerse alerta ante estos riesgos emergentes en la era digital.