REDENTOR Más que un mensaje!
Un paciente con cáncer avanzado sufrió el robo de 30 mil dólares destinados a su tratamiento. El ataque se hizo mientras transmitía por streaming un videojuego en Steam, una de las plataformas de gaming de PC más grande del mundo, que tenía escondido un virus que rapuntaba a robar billeteras de criptomonedas (wallets) . Distintas cuentas de redes sociales ataron cabos y apuntaron a un argentino que vive en Miami como el responsable del robo.
Todo ocurrió en vivo. “RastaLand”, un streamer de videojuegos que padece un sarcoma en etapa 4 (un cáncer que afecta huesos y tejidos blandos), estaba transmitiendo cuando aceptó probar un juego ofrecido por un desconocido: Block Blasters. La promesa era que él lo jugaba en su canal y, a cambio, recibiría una compensación económica. Pero era un engaño.
El juego contenía un malware (virus) diseñado para robar credenciales y vaciar billeteras de criptomonedas. En cuestión de minutos, RastaLand perdió alrededor de 30 mil dólares, dinero que había reunido con donaciones para costear su tratamiento.
“Estoy roto”, se lo escuchaba decir en la transmisión, mientras un amigo intenta consolarlo, en una escena desoladora.
El engaño y «Valentín», el argentino apuntado
Yesterday a video game streamer named @rastalandTV inadvertently livestreamed themselves being a victim of a cryptodraining campaign.
This particular spearphishing campaign is extraordinarily heinous because RastaLand is suffering from Stage-4 Sarcoma and is actively
El caso se amplificó en X (Twitter) cuando “Smelly”, el administrador de una reconocida página de malware llamada VX Underground, republicó el video del afectado entre lágrimas. A partir de esto, empezó a arrojar pistas de que se trataba de un engaño.
Distintos investigadores, apodados “nerds” por “Smelly” en Twitter, analizaron el malware y aseguran haber encontrado en el código credenciales que enviaban los datos robados a un canal de Telegram. Al conectarse a ese canal con las mismas credenciales, encontraron mensajes y usuarios vinculados a la operación y usaron esos identificadores para rastrear perfiles públicos en otras plataformas.
Este medio se contactó con uno de los investigadores que logró dar de baja la infraestructura de los atacantes e hizo un reporte forense: «El juego está disponible para que cualquiera lo descargue en Steam, con un ‘manifiesto’ de todos los archivos que lo componen. Me fijé ahí y encontré el código fuente a la vista, era bastante claro ver lo que hacía el programa. Ahí estaba encontré su infraestructura, que contenía toda la información sobre sus víctimas, junto con el código que les permitía controlarla a través de un bot de Telegram. Ese bot necesitaba iniciar sesión con credenciales, pero… Las habían dejado a la vista de todos en el código y a partir de ahí logramos entrar y dar de baja la infraestructura», explicó 1989, investigador de seguridad independiente.
El argentino, identificado como Valentín, una «estrella» de instagram. Foto: Instagram
Al poder entrar a ese bot de Telegram, dieron con cuentas de redes sociales que llevaron a un presunto perfil personal, que correspondería al de un tal “Valentín”, un argentino que vive en Miami y sube fotos con autos de lujo y distintas exposiciones de su vida personal. Diversas cuentas viralizaron sus imágenes y sus cuentas, que al poco tiempo fueron borradas.
El apuntado habló con Maximiliano Firtman, programador que subió un video a Twitter, donde el joven desmiente que haya hecho el ataque y cuenta que se dedica “a comprar y vender cuentas de redes sociales”, una práctica gris que no es infrecuente entre influencers.
Esta cadena de pistas es consistente con un hallazgo técnico mediante técnicas de inteligencia abierta (OSINT, esto es, obtener información disponible de manera pública en internet, como redes sociales y foros, para armar una investigación), pero todavía no hay ninguna fuente oficial que conecte al argentino con el ataque.
Steam, ¿un repositorio de malware?
Block Blasters, el videojuego de Steam que estaba infectado. Foto: Steam
El ataque fue posible porque esta plataforma de videojuegos, Steam, permite que se carguen juegos infectados.
“Se trató de un juego que fue específicamente desarrollado para distraer a sus víctimas, mientras que por detrás se robaban datos confidenciales que le permitieran a los delincuentes acceder a las wallets apuntadas, entre los datos pueden ser credenciales, archivos y datos de navegador. Hay dos posibilidades: en caso de accionar automáticamente la transferencia de dinero a través de éste programa malicioso, estamos hablando de un drainer. Si con esta información los delincuentes tuvieron que procesarla y ellos interactuar desde su lado para realizar las transferencias (obteniendo todo lo necesario para hacerlo) estamos hablando de un stealer”, explica en diálogo con Clarín Agustín Merlo, analista de malware independiente.
Los “drainers” son muy comunes en el ecosistema de las criptomonedas. “Un crypto drainer es una herramienta que tiene como objetivo automatizar la transferencia de fondos desde una billetera víctima a una billetera controlada por un ciberdelincuente en el mundo crypto”, agrega.
«Los datos confirman la magnitud de este problema: el Informe de Criptomonedas IC3 de 2023 analizó casi 69,500 quejas relacionadas con criptomonedas, revelando que las estafas con criptomonedas fueron responsables de casi el 50% del total de las pérdidas, ascendiendo a 5.6 mil millones de dólares, un aumento del 45% respecto a 2022. Esta asombrosa estadística subraya lo generalizada e impactante que se ha vuelto esta exposición», recuerda a este medio Satnam Narang, Ingeniero de Investigación senior en Tenable Research.
Steam, propiedad de Valve, es una de las plataformas de videojuegos más grandes del mundo. Foto Valve
Esto afecta, principalmente, a las «las empresas en el espacio de las criptomonedas, donde el objetivo no sería drenar el monedero de un usuario individual, sino en cambio intentar comprometer cuentas que tienen acceso a sistemas de backend o herramientas que podrían llevar a una ganancia financiera importante. Es por eso que se veen muchos intercambios de criptomonedas y aplicaciones de finanzas descentralizadas como objetivos, porque es allí donde los atacantes podrían encontrar decenas de millones de dólares para robar», agrega.
El problema de fondo de este caso es que Steam, propiedad de Valve, una de las empresas de videojuegos más grandes del mundo, permitió que se subiera un juego que estaba infectado. Y esto tiene que ver con el proceso mediante el cual, una vez que se sube el programa a la plataforma, este puede actualizarse sin una revisión posterior.
“El proceso para subir un juego a Steam es relativamente sencillo. Una vez que se paga la tarifa establecida, que hoy es de 100 dólares, se necesita completar información básica del título que los jugadores verán en la tienda de Steam, subir imágenes de referencia, una descripción del juego y otros detalles. Una vez completada la lista de requisitos previos, Steam solicita que se suba una versión del juego a la plataforma para su revisión y aprobación inicial, algo que toma entre 3 a 5 días hábiles”, cuenta a este medio Patricio Marín, desarrollador argentino de videojuegos.
Autor de Pretend Cars Racing, Marín remarca que el problema está en las actualizaciones del juego: “Una vez que te aprueban el juego y está subido, cualquier actualización posterior se publica de forma inmediata, sin requerir una aprobación adicional, por más pequeño o grande que sea el cambio en el juego”. Esto abre la puerta a que un videojuego sea infectado, como sucedió en este caso.
Los researchers lograron que las empresas de seguridad empezaran a marcar las muestras del software como peligrosas, una de ellas, la referencia número 1 para identificar malware: Virus Total. Luego, Steam dio de baja el juego.
Más allá del rastreo técnico, la historia movilizó a la comunidad gamer y cripto. El empresario y youtuber Alex Becker donó 30 mil dólares para compensar la pérdida, mientras otros usuarios ofrecieron colaborar. “Más de 50 nerds trabajando juntos para revertir el daño”, resumió uno de los participantes de la investigación.
El caso encendió alertas en la comunidad cripto y activó los mecanismos de linchamiento en redes sociales. Pero más allá de esto, la investigación sigue abierta y aún no hay acusaciones formales conocidas. La única prueba concreta es el hallazgo del malware dentro de un título publicado en Steam, plataforma que ya retiró el juego, dejando ver que tiene un problema en su sistema de control del contenido que pueden descargar sus usuarios.
