Así es el malware que se oculta en videojuegos, espera 3 días y después roba tus contraseñas y plata

Una nueva campaña maliciosa con alcance global, apodada Argamal, dirigida a usuarios de juegos para adultos, comúnmente conocidos como juegos hentai, mediante versiones troyanizadas que despliegan un implante malicioso previamente desconocido, fue descubierta por el Equipo Global de Investigación y Análisis de Kaspersky (GReAT).

Durante un monitoreo de telemetría de rutina, los expertos detectaron el malware en Rusia, Brasil, Alemania, Vietnam y numerosos otros países, con presencia confirmada en América Latina a partir de detecciones en Brasil.

El aspecto más relevante de Argamal está en su técnica de ocultamiento: el archivo descargado incluye el juego legítimo, pero también incorpora una biblioteca modificada que se carga automáticamente como parte del funcionamiento normal del software, sin errores visibles ni fallos evidentes.

El juego funciona con normalidad, algo que reduce la sospecha del usuario y hace que la infección sea prácticamente invisible.

Tras un período de espera de varios días, el implante descarga una carga adicional que actúa como troyano de acceso remoto (RAT), otorgando a los atacantes control remoto total sobre la máquina infectada.

La demora deliberada es parte del diseño: separar temporalmente la descarga del juego de la activación del malware es precisamente lo que dificulta que la víctima conecte ambos eventos.

Cómo se distribuye Argamal: PixelDrain, torrents y foros de videojuegos

Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky, resaltó que "los ciberdelincuentes han abusado durante mucho tiempo del contenido relacionado con los juegos y de los instaladores de software no oficiales para distribuir malware, confiando en que los usuarios descargan archivos de fuentes no verificadas con poca sospecha".

Y añade: "A lo largo de nuestro análisis, observamos que el malware se actualiza activamente con nuevas características y cambios de infraestructura, lo que sugiere que la campaña está en curso y es probable que evolucione aún más", 

La creciente disponibilidad de herramientas públicas y automatización ha hecho que el desarrollo de malware sea más fácil y rápido para los actores de amenazas. Como resultado, los usuarios deben evitar descargar software de sitios web y plataformas no oficiales".

Los juegos troyanizados se distribuyeron a través de sitios web dedicados con enlaces de descarga que redirigían a los usuarios a PixelDrain, un servicio legítimo para compartir archivos frecuentemente abusado para la entrega de malware, y también a través de rastreadores de torrents, incluido AniRena.

En todos los casos observados, las víctimas descargaron un archivo comprimido que contenía los archivos del juego infectados junto con una biblioteca DLL manipulada requerida para que el juego funcionara.

En cuanto el usuario inicia el juego, el archivo DLL infectado se carga automáticamente en la memoria, sin que aparezca un instalador en segundo plano ni ningún mensaje que solicite desactivar el antivirus.

Los detalles del virus que tarda en aparecer 

Durante el análisis técnico, los investigadores identificaron métodos de entrega adicionales: en algunos casos, la carga útil maliciosa se incrustó directamente dentro de los archivos del juego; en otro, el actor distribuyó un archivo malicioso a través de un foro de videojuegos disfrazándolo como un truco (cheat) para el juego.

Kaspersky evalúa con un nivel de confianza medio que el desarrollador de la cadena de descarga podría ser un actor de amenazas de habla hispana, con base en nombres de variables, comentarios en el código e información de infraestructura.

Eso hace que la amenaza sea especialmente relevante para usuarios de América Latina, donde el uso de plataformas no oficiales de descarga de videojuegos está ampliamente extendido.

Qué hace Argamal una vez dentro: tres días de espera y control total del sistema

Argamal se lo toma con calma: en lugar de lanzarse inmediatamente a robar archivos y contraseñas, el troyano comprueba primero si se está ejecutando en una máquina virtual o en un entorno aislado y luego pasa a modo de espera, durante el cual escribe parámetros ocultos en el sistema y oculta las rutas de acceso a sus archivos DLL.

Tres días después de la infección inicial, el ordenador se conecta a GitHub, descarga un archivo cifrado, lo descifra y lo convierte en un módulo troyano operativo.

El malware utiliza COM hijacking para garantizar su persistencia, modificando la entrada InprocServer32 del Windows Color System Calibration Loader DLL, una tarea integrada de Windows que se activa cada vez que el usuario inicia sesión, lo que permite al malware ejecutarse automáticamente en cada arranque del sistema.

Una vez activo, Argamal puede ejecutar comandos arbitrarios en la computadora infectada, descargar y ejecutar archivos, tomar capturas de pantalla, comprimir archivos en archivos .zip, controlar el cursor, realizar reinicios y apagados del sistema y enviar archivos a servidores externos especificados por el atacante.

Antes de cerrarse, el malware elimina los archivos temporales y cubre sus huellas para dificultar aún más su detección por parte de herramientas de análisis forense.

En síntesis: quien descarga un juego infectado entrega a un tercero el control completo de su computadora sin saberlo, sin ver ninguna señal de alarma y sin poder relacionar el daño con el momento exacto de la infección. 

El peligro real de un RAT: más allá del robo de contraseñas

Si bien la campaña apunta principalmente al robo de datos y credenciales, el RAT también habilita a los atacantes para ejecutar cualquier actividad maliciosa que deseen sobre los dispositivos infectados, lo que convierte a Argamal en una amenaza mucho más grave que un simple ladrón de contraseñas.

El acceso remoto total abre la puerta a escenarios que van desde el espionaje corporativo hasta el ransomware, pasando por el uso de la máquina como nodo de una botnet o como herramienta para atacar a terceros.

Los investigadores observaron durante el análisis una corriente constante de actualizaciones al payload, incluyendo la incorporación de nuevas funciones y correcciones de errores, así como cambios en la infraestructura, lo que indica que el actor de la amenaza continuará desarrollando y mejorando el malware. 

Cómo protegerse de Argamal: las recomendaciones de Kaspersky para no ser víctima

Las soluciones de Kaspersky detectan esta amenaza bajo los nombres Trojan.Win32.Termixia.*, Trojan.Win32.Agent.*, HEUR:Trojan.Win32.Argamal.gen y HEUR:Trojan-Downloader.Win32.Argamal.gen, y la neutralizan antes de que pueda causar daño en los dispositivos de los usuarios.

La primera y más importante recomendación de los expertos es la más simple: descargar juegos y mods únicamente desde fuentes oficiales o sitios web de buena reputación, evitando por completo plataformas de torrents, sitios de descarga directa no verificados y foros donde cualquier usuario puede subir archivos sin control.

Se recomienda también no compartir más datos de los estrictamente necesarios: si un juego o una página web para adultos obliga a registrarse, introducir datos personales o vincular cuentas de terceros, eso es una señal de alerta que no debe ignorarse.

Habilitar la opción "mostrar extensiones de archivo" en la configuración de Windows es otra medida clave: permite identificar fácilmente ejecutables disfrazados de videos o documentos, ya que los troyanos suelen presentarse con extensiones como ".exe", ".vbs" o ".scr" camufladas bajo nombres inocentes.

Utilizar una solución de seguridad activa con capacidad de detectar comportamiento sospechoso en tiempo real en todos los dispositivos es la última línea de defensa, especialmente para aquellos usuarios que no siempre pueden verificar la legitimidad de las fuentes antes de descargar.

La regla de oro sigue siendo la misma que hace décadas: si algo es gratis, no oficial y parece demasiado conveniente, el precio real probablemente se paga con los datos del dispositivo.