BitDefender ha detectado un nuevo troyano que se utiliza para robar los valores virtuales de las cuentas de los jugadores de World of Warcraft que están protegidas por el sistema de autentificación de Blizzard Battle.net, un sistema que se creía que era muy seguro.
El sistema de autentificación es un dispositivo electrónico de seguridad que genera un numero de autentificación único (una serie de 6 números) que, utilizado con el nombre de usuario y la contraseña, nos dejan acceder a la cuenta de usuario. Todo esto está relacionado matemáticamente con un número de serie único asignado a cada sistema de autentificación, de tal forma que los servidores de Battle.net puedan verificar si un código fue emitido por algún generador.
Este método debería ser muchísimo mas seguro que la autentificación basada en contraseña, ya que el atacante necesita tanto la combinación usuario-contraseña como la ficha válida para inicia la sesión, pero la ficha era accesible solo para los usuarios que tienen un generador de números.
Finalmente se encontró una manera de robar y usar ese número y es muy simple ya que tienen que convencer al usuario de World of Worcraft que instale una copia de Wowmatrix, que trae con un troyano (Wowmatrix es una herramienta popular de actualización automática para las extensiones de World of Worcraft).
Una vez instalado, el troyano Trojan.PWS.WOW.NGT modifica la imagen de la memoria del ejecutable del World of Worcraft y roba la ficha valida enviándola al atacante, junto con la información del ordenador de la víctima. El archivo ejecutable del juego es cambiado antes de intentar conectarse a través de la ficha.
El atacante se encuentra ahora en posesión de un número activo y libre para ser utilizado para conectarse a través del cual puede limpiar la cuenta de la victima de sus bienes virtuales, por el simple método de la venta de los mismos y enviarlos a la cuenta controlada por el atacante en forma de «regalo “de un jugador a otro.
«No sólo la comunidad de los jugadores de World of Warcraft está en peligro, sino también otros usuarios, porque hay muchos otros métodos de autenticación. Podemos estar asistiendo a una acción de mayor potencial” dijo Viorel Canja, director de los Laboratorios BitDefender.