phishing genshin impact

Vuelvo a la carga con otra campaña de phishing.

Esta vez, tan buena que incluso he dudado de que fuera real.

Te lo cuento.

El gancho

Hace unos días recibía un email en nombre, supuestamente, de un tal Allison Butier, un desarrollador de MiHoYo, la empresa que está detrás del popular MMORPG Genshin Impact, ofreciéndome un acuerdo publicitario para mi canal de Youtube.

Hello, I’m Allison Butler and I represent the mobile game Genshin Impact, developer MiHoYo.

We are running a campaign to promote our product and have chosen YouTube as our means of promotion.

We would be interested in collaborating with you.

If you are interested in collaborating, answer this email and our manager will contact you shortly.

Aquí ya había algunas cosas que no me cuadraban:

  • Supuestamente me estaban escribiendo desde el departamento de marketing de la empresa, pero al parecer quien firmaba era desarrollador. Rarísimo que un desarrollador sea a la vez comercial, y más en una empresa tan potente como esta.
  • Para colmo, el dominio desde donde me escribían pertenecía a ¡una página de República Checa! Una web informativa, para más inri, que poco tiene que ver con el estudio chino.

Pero mira, llevo ya muchos años dedicándome a esto, y sobre todo con acuerdos comerciales con empresas de Asia he visto de todo. De verdad, desde trabajadores que se ponen nombres españoles y te escriben con el Google Translate, hasta relaciones realmente extrañas a nivel de comunicación, con la firma de contratos larguísimos simplemente para pagar un artículo patrocinado de pocos cientos de euros.

Lo suficiente, al menos, para que pudiera colar perfectamente que MiHoYo hubiera contratado a una empresa de marketing checo para llegar a acuerdos con creadores de contenido europeos y/o occidentales.

Les respondí sin mucha ilusión, por ver lo que me contaban.

Tardaron varios días en responderme, pero es entonces cuando me encuentro lo siguiente:

phihsing videojuegos

Por resumirlo muy mucho, básicamente estaban dispuestos a pagarme 1500 dólares por un preroll dentro de un vídeo que subiera a mi canal.

1500 dólares por apenas unos segundos en los que mencionase el juego de marras.

A mi canal de Youtube (ES), que lo tengo básicamente como soporte audiovisual para subir entrevistas o apariciones en medios.

Si al menos estuviésemos hablando de un patrocinio en el blog, todavía. Pero es que en mi canal de Youtube, que debe tener como 600 suscriptores…

Fue entonces cuando me interesé más con la propuesta.

Tenía que haber gato encerrado.

¡Y vaya si lo había!

El fraude

En el email me pasaban varios enlaces a vídeos de diferentes Youtubers que, en efecto, hablaban de Genshin Impact. Y sí, en este caso estaba ante influencers con centenares de miles de seguidores. Algo más lógico.

Además, me compartía el press kit del juego mediante un enlace en Mega.

Me cercioré de que, en efecto, era la página de Mega a la que me redirigía, y cuando estuve seguro, entré en ella, para descargarme ese media kit.

archivo troyanizado

El archivo era, como puedes ver, un ZIP que además venía con contraseña. Claro, todo muy protegido, no fuera que el media kit acabase en malas manos :D.

Y dentro, tres archivos:

  • Un documento de texto.
  • Un vídeo.
  • Un archivo ejecutable.

Mal asunto…

Pasé los tres archivos por Virus Total (EN) a ver si sonaban las alarmas.

  • En el documento de texto, todo en orden.
  • En el vídeo, todo en orden.
  • Pero ¡el archivo ejecutable venía con regalo!

¡He aquí donde está el fraude!

Concretamente, cuatro proveedores de antivirus identificaron un troyano. Una variante de Obsidium. Buscando por Internet, me entero de que estamos ante un troyano que fue muy utilizado a partir de 2020, y para muy diversos usos.

Hubiera bastado con que un servidor abriese ese archivo desde un Windows (lo habitual si eres jugador de videojuegos), para que los cibercriminales ya tuvieran acceso a mi ordenador.

troyano virustotal

Qué objetivos tiene este ataque y qué podemos hacer para evitarlo

Al tratarse de una infección por malware, y además estar dentro de una campaña dirigida a creadores de contenido, me da que el objetivo principal es hacerse con el control de nuestras páginas y perfiles en plataformas como Youtube y redes sociales, con el fin, seguramente, de infectar con posteriores ataques a nuestros seguidores.

Concretamente a los usuarios de esta página.

A CyberBrainers nos llegaron hace unas semanas un chaval de un popular canal de Youtube que le habían conseguido robar la cuenta, y después de analizar el caso, todo apuntaba que el ataque había sido posible gracias a la instalación de otro troyano en su ordenador, seguramente con la excusa de algún acuerdo publicitario como este.

Una vez con la cuenta en su poder, los cibercriminales suelen cargar contenido audiovisual con supuestos tutoriales en nombre del creador que incentiva a los seguidores a instalar algún programa que viene también troyanizado.

De ahí que los perfiles que tenemos alguna capacidad mediática seamos objetivos prioritarios de estas redes de cibercriminales. A fin de cuentas, atacar con éxito a alguno de nosotros supone, en la posterior campaña de infección, muy probablemente comprometer la seguridad de miles de usuarios, al usar nuestra credibilidad como creadores de contenido frente a nuestra audiencia como gancho.

En fin, que solo quería explicar por aquí cómo funcionan este tipo de timos.

Por supuesto, si eres un creador de contenido (o un usuario normal) lo mejor que te puedo decir es que por defecto desconfíes de cualquier propuesta que te hagan, y que apliques los pasos que ya definimos en su día para identificar campañas de phishing (fijarse en quién te lo envía, fijarse en qué te envía, desconfiar de cualquier documento adjunto).

Otros timos que deberías conocer: