El nuevo ransomware utiliza un archivo ejecutable del popular videojuego “Honkai: Star Rail” para evadir la detección y el inicio.
El ransomware, descubierto por analistas de ANY.RUN y denominado “Kransom”, utiliza una técnica llamada descarga de biblioteca de enlaces dinámicos (DLL) para descargar StarRail, el ejecutable legítimo “Honkai: Star Rail” que se hace cargo del flujo de ejecución del exe.
Honkai: Star Rail es un popular juego de rol con aproximadamente 21 millones de jugadores. StarRail.exe tiene un certificado válido del editor del juego, COGNOSPHERE PTE LTD., y en sí mismo es inofensivo.
Sin embargo, si se instala el archivo malicioso StarRailBase.dll y se inicia el ejecutable del juego, el ransomware se cargará y comenzará a cifrar los archivos de la víctima. Los analistas de ANY.RUN dijeron en una publicación de blog publicada el lunes que Kransom utiliza un algoritmo de cifrado XOR simple con clave codificadora 0xaa para bloquear archivos.
Una nota de rescate dejada después del cifrado indica a las víctimas que se comuniquen con el desarrollador del juego, Hoyoverse, para realizar más intentos de suplantación.
La descarga de DLL se hace cargo de las aplicaciones confiables y las vuelve sigilosas
Kransom aprovecha los videojuegos y sus certificados válidos para evitar sospechas tanto de los usuarios como del software antivirus. Esta técnica hace que sea menos probable que el software de ciberseguridad detecte código malicioso que se inicia junto con el juego que si el usuario inicia directamente un ejecutable malicioso que no es de confianza.
La descarga de DLL también se ha utilizado en campañas de malware anteriores, incluida una en 2022 que propagó el malware Qakbot descargándolo a través de una aplicación de calculadora legítima de Windows 7.
El año pasado, una campaña de descarga de DLL secuestró el proceso de ejecución del software legítimo de comunicaciones empresariales 3CX en un complejo ataque a la cadena de suministro. En este caso, la aplicación de escritorio 3CX se vio comprometida y se incrustó código malicioso dentro de la aplicación, y 3CX revocó el certificado de la versión afectada.
“Juegos como Honkai: Star Rail siendo atacados por ataques de ransomware sugiere un riesgo potencial de que los actores de amenazas puedan usar técnicas similares con otro software popular”, escribieron los analistas de CUALQUIER .RUN.
También es común que el malware se propague bajo la apariencia de trucos de videojuegos, modificaciones, moneda del juego y versiones gratuitas de juegos pagos. Los usuarios deben tener cuidado al descargar software de fuentes no confiables.
https://www.scmagazine.com/news/honkai-star-rail-game-executable-hijacked-to-launch-ransomware
