Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

19>
26
ago

⚡TL;DR

Uno de los casos más llamativos y crueles de la semana cruzó al mundo cripto con la ciberseguridad: un paciente con cáncer fue engañado para descargar un videojuego en Steam que escondía malware y perdió 32 mil dólares que había recaudado para su tratamiento. La historia sumó todavía más morbo cuando apareció un sospechoso: un argentino que vive en Miami.

Pero más allá de esto último, ¿cómo es que una plataforma masiva permite que un usuario descargue un programa infectado? En esta entrega, hago un desglose del ataque, junto con la causa principal del problema (que está en los updates, no en el upload inicial a Steam).

Hace tiempo no hacía una entrega con contenido más técnico y, como hay mucha jerga específica, voy a pegar un hipervínculo sobre cada término “raro” para los que no son 100% infosec. Creo que es interesante ver todo lo que un atacante creativo y motivado puede hacer en un software de alta reputación como Steam.

Hay mucho material en esta entrega así que voy a saltear el resumen de cada subtítulo destacado esta vez, para que no quede tan extenso.

Dejo dos recomendaciones de lectura que crucé esta semana. Por un lado, un artículo que leí sobre el ecosistema open-source y cómo las Big Tech venían contribuyendo a mejorar el mantenimiento de ciertas herramientas y protocolos omnipresentes en la internet actual, que fueron dejados de lado por la irrupción de la IA.

Y otro de The Guardian donde explican por qué el trabajo de traductores para subtitulado está fuertemente en riesgo por la IA, “a pesar de ser un servicio que necesita humanos para que funcione”.

Algunas personales para cerrar: estuve en Press Over Podcast hablando del caso de la apertura de este newsletter y, en unas horas (10 AM de Argentina), estaré hosteando junto a Nahuel Lombardo (aka Lombi) el track de seguridad de Nerdearla en el Centro Cultural Konex de Buenos Aires. ¡Pasen a saludar si andan por ahí!

Entrevisté (otra vez) a Werner Vogels, CTO de Amazon, para Clarín. El domingo reproduzco acá la nota en un long read sin agenda: fue una charla larga que, creo, vale la pena leer.

Y La perlita de la semana: ahora Samsung le pone avisos a tu heladera.

Preferiría que, en lugar de ads, corriera Doom.

En esta edición:

• 💰 Cómo robaron más de 30 mil dólares a un paciente con cáncer a través de Steam

• 🛫 Un ransomware contra aeropuertos europeos paralizó operaciones

• 📰 Microsoft negocia con medios de comunicación por la IA

• 🕷 Se entregó un miembro de Scattered Spider, el grupo que atacó los casinos en Las Vegas

• 🔌 Nuevo record en DDoS: 22 Tbps y 10 mil millones de paquetes

⏰ Substack dice que leer este correo completo lleva 15 minutos

Dark News #165

Espacio publicitario

Media Party 2025: el mayor evento de tecnología & medios dedica sus 3 días de conferencias, workshops y hackatón a co-crear un periodismo con superpoderes usando la inteligencia artificial. Vienen speakers de Reuters, The Atlantic GTPZero y más.
2,3,4 de Octubre en Buenos Aires.

Gratuito. Cupos limitados (clic acá o en el banner)

Cómo robaron más de 30 mil dólares a un paciente con cáncer a través de Steam

“RastaLand”, un streamer con sarcoma en etapa 4, perdió en vivo 30 mil dólares que había reunido para su tratamiento. El ataque ocurrió cuando aceptó probar un videojuego en Steam llamado Block Blasters, que contenía un infostealer mediante el cual le robaron todo el dinero de su wallet.

Es común que los youtubers acepten jugar a cambio de dinero, en tanto implica difusión para los desarrolladores.

Qué pasó. El archivo infectado vació sus fondos mientras estaba en vivo y la escena, desoladora, quedó registrada: entre lágrimas, se lo escucha decir “estoy roto”. La comunidad gamer y cripto se movilizó: el youtuber Alex Becker le donó la misma suma para compensar la pérdida.

Investigación. La cuenta VX Underground, que dio a conocer el ataque, inició una suerte de investigación online en X (Twitter) que reunió a diversos OSINTers y especialistas en seguridad.

Dark News habló con 1989, uno de estos researchers, que dio de baja la infraestructura (C2, command & control) de los atacantes y escribió un reporte forense:

El juego está disponible para que cualquiera lo descargue en Steam, con un ‘manifiesto’ de todos los archivos que lo componen [en SteamDB]. Me fijé y encontré el código fuente a la vista, era bastante claro ver lo que hacía el programa. Ahí estaba su infraestructura, que contenía toda la información sobre sus víctimas, junto con el código que les permitía controlarla a través de un bot de Telegram. Ese bot necesitaba iniciar sesión con credenciales, pero... las habían dejado a la vista de todos en el código y a partir de ahí logramos entrar y dar de baja la infraestructura”.

Cómo fue el ataque. Paso a paso, de esta forma se pudo infectar un programa en Steam, como se ve en el informe realizado por los investigadores.

• Ejecución Inicial: Al iniciar el juego, se ejecutaba un script conocido como “dropper”, que comenzaba el proceso de infección. Una vez ejecutado, seguía estos pasos:

  • Detección de privilegios: El script primero verificaba si se estaba ejecutando con privilegios de administrador.

  • Reconocimiento: Recopilaba información sobre la víctima, como su dirección IP pública y su ubicación geográfica.

  • Detección de antivirus: El script contenía una larga lista de procesos de antivirus y EDR (Windows Defender, Crowdstrike, ESET, etc.).

• Recopilación de información. El malware se comunicaba con un servidor C2 y luego:

  • Descargaba dos archivos clave del servidor: whitelisted_users.txt (una lista de objetivos específicos) y settings.txt (un archivo de configuración).

• Despliegue del payload (malware). El malware principal solo se activaba si se cumplían ciertas condiciones:

  • Si el usuario estaba en la lista de objetivos (whitelisted_users.txt), si el archivo de configuración lo indicaba (auto=1), o si el C2 respondía “yes”.

  • Esto desplegaba un stealer que localizaba y leía el archivo loginusers.vdf de Steam para extraer el SteamID, el nombre de la cuenta y el nombre de perfil del usuario.

Robo de criptomonedas. Hasta esta primera etapa se puede entender cómo se logra robar información de la cuenta de Steam. Pero esto no era usado para hacer account takeover, sino para usar esa información como identificador.

• Comparación. Con el nombre de la cuenta de Steam en su poder, el script en la máquina de la víctima comparaba el nombre de la cuenta de Steam extraído con los nombres en la lista para buscar un match

  • Lo que se busca con esto es un target específico. Acá es importante entender que el atacado mostraba públicamente en redes sociales cuánto dinero tenía recaudado, lo cual es información valiosa para los atacantes.

• Despliegue del “payload especial”. El script tiene una lógica condicional: si la víctima está en la lista de objetivos, o si otras condiciones se cumplen, recibe la orden de desplegar una payload en particular.

• Ejecución del stealer de criptomonedas (Block1.exe). Dentro de v2.zip se encuentra el ejecutable Block1.exe. Las fuentes identifican explícitamente este archivo como un “stealer as a service” que apuntaba wallets de criptomonedas.

Aunque las fuentes no detallan el funcionamiento interno de Block1.exe, su clasificación como “stealer” y el resultado del ataque (el robo de $32,000 en criptomonedas de la plataforma pump.fun) permiten inferir que su función era buscar y extraer activos digitales.

Y que ese archivo es el que habría robado las criptomonedas de la víctima.

El argentino apuntado. El acceso al bot de Telegram de los atacantes permitió dar con un supuesto argentino radicado en Miami, identificado como “Valentín”. Negó estar involucrado y dijo dedicarse a la compraventa de cuentas. No hay confirmación oficial que lo vincule al ataque.

Steam. El caso expuso un problema de seguridad en la plataforma: tras la aprobación inicial, cualquier actualización se publica sin revisión extra. Explicó a Dark News Patricio Marín, desarrollador argentino de videojuegos, autor de Pretend Cars Racing:

El proceso para subir un juego a Steam es relativamente sencillo. Una vez que se paga la tarifa establecida, que hoy es de 100 dólares, se necesita completar información básica del título que los jugadores verán en la tienda de Steam, subir imágenes de referencia, una descripción y otros detalles. Steam solicita que se suba una versión a la plataforma para su revisión y aprobación inicial, algo que toma entre 3 a 5 días hábiles. Pero una vez que el juego está subido, cualquier actualización posterior se publica de forma inmediata, sin requerir una aprobación adicional, por más pequeño o grande que sea el cambio en el juego.

La empresa no dio explicaciones oficiales ante consultas de la prensa. El miércoles de esta semana empezó a notificar a usuarios que tenían Block Blasters instalado.

Es el cuarto caso reportado de un juego infectado en lo que va de 2025.

Un ransomware contra aeropuertos europeos paralizó operaciones

Un ciberataque contra los sistemas de Collins Aerospace, subsidiaria de RTX (Raytheon Technologies), afectó las operaciones de check-in y embarque en varios de los aeropuertos más grandes de Europa, entre ellos, Heathrow en Londres, Berlín y Bruselas.

Los problemas arrancaron el sábado y todavía el lunes seguía provocando demoras, cancelaciones y un regreso forzado a procesos manuales.

Qué pasó. El software afectado fue MUSE, que utilizan numerosas aerolíneas para el registro de pasajeros y despacho de equipaje. Eso obligó a improvisar soluciones insólitas: en Bruselas usaron iPads y laptops para registrar pasajeros, en Berlín algunos viajeros llegaron a recibir boarding passes escritos a mano.

Detenido. El miércoles, autoridades de Reino Unido arrestaron al sospechoso.

Ransomware. La ENISA, la agencia de ciberseguridad de la Unión Europea, confirmó que se trató de un ataque de ransomware.

Qué significa. La investigación está en curso y no se sabe aún qué grupo está detrás del ataque. Collins Aerospace ya había sido vinculada a incidentes de ransomware en 2023, aunque la compañía nunca lo reconoció.

Por qué importa. El episodio expone la fragilidad de las cadenas de software que sostienen infraestructuras críticas. Alcanza un proveedor caído para que se interrumpa el transporte aéreo de todo un continente. Lo mismo había ocurrido este año con Jaguar Land Rover, que debió frenar su producción por un ataque similar.

Microsoft negocia con medios de comunicación por la IA

Microsoft negocia con medios de EE. UU. para probar un programa piloto que les permitiría recibir compensación por el uso de su contenido en productos de IA, comenzando con Copilot.

El proyecto. Publisher Content Marketplace (PCM) comenzará con un grupo limitado de editores y apunta a construir un modelo de negocio sostenible para la industria de medios en la era de la IA.

Por qué importa. Hasta ahora, la mayoría de las grandes tecnológicas han pagado a los medios por licencias de contenido de forma upfront, no por uso. Si Microsoft logra escalar este marketplace, se convertiría en la primera compañía tech importante en implementar un modelo de compensación basado en uso de contenido, algo que la industria mediática está buscando hace tiempo.

Medios como New York Times están en juicio con OpenAI.

Qué significa. La noticia muestra que Microsoft busca fortalecer su relación con los editores, pero principalmente busca una manera de llenar el vacío legal que se produce con los derechos de autor y la IA.

Dato. El proyecto se presentó la semana pasada en el Partner Summit en Mónaco, donde Microsoft mostró un slide que decía “Merecés que te paguen por la calidad de tu propiedad intelectual”.

Potencial. Copilot tiene mucho menos tráfico que ChatGPT u otros chatbots de IA, pero Microsoft cuenta con la escala y la base de usuarios empresariales de Microsoft 365 y Azure, lo que podría garantizar demanda suficiente para el marketplace.

Se entregó un miembro de Scattered Spider, el grupo que atacó los casinos en Las Vegas

Un adolescente del grupo de cibercrimen Scattered Spider se entregó en Las Vegas, mientras el colectivo experto en ingeniería social, famoso por hackear a MGM y Caesars Entertainment, asegura que está cerrando operaciones.

Qué pasó. El joven fue identificado por el FBI y demorado en el Clark County Juvenile Detention Center, acusado de suplantación de identidad, extorsión y delitos informáticos. La fiscalía busca que sea juzgado como adulto. Al mismo tiempo, en el Reino Unido fueron detenidos Thalha Jubair (19) y Owen Flowers (18), acusados de atacar a Transport for London y a grandes retailers británicos.

Por qué importa. La propia banda anunció en BreachForums y Telegram que se retiraba, con algunos miembros diciendo que planeaban pasarse a “roles positivos” en ciberseguridad.

Scattered Spider llegó a extorsionar más de 115 millones de dólares en rescates.

Nuevo record en DDoS: 22 Tbps y 10 mil millones de paquetes

Cloudflare informó que bloqueó el ataque DDoS más grande registrado hasta el momento: un pico de 22,2 Tbps y 10,6 mil millones de paquetes por segundo.

Qué pasó. El ataque duró apenas 40 segundos, fue dirigido contra una sola dirección IP de una empresa europea de infraestructura de red y fue neutralizado de forma automática por los sistemas de Cloudflare.

La compañía cree que estuvo impulsado por el botnet Aisuru, el mismo que a comienzos de este año protagonizó un ataque de 6,3 Tbps contra el sitio del periodista Brian Krebs.

Por qué importa. El volumen fue el doble del récord anterior, una señal de la escalada en ataques “hiper-volumétricos”. Aisuru lleva más de un año en actividad y funciona con dispositivos IoT comprometidos —routers, DVRs y otros equipos vulnerables—, lo que lo hace especialmente difícil de frenar.

Dato. Según Cloudflare, en la primera mitad de 2025 ya bloquearon más ataques que en todo 2024, un indicador de que la ofensiva DDoS está entrando en una nueva fase.

🔓 Breaches y hacks

• Un grupo hacktivista afirma haber hackeado a Claro Colombia

• Roban 2 millones de un protocolo DeFi y casi 30 millones de la plataforma cripto UXLINK

• Nueva serie de ataques de phishing apunta a desarrolladores de Python

🔒 Ransomware

• Nuevo reporte sobre Akira Ransomware, a partir de 30 víctimas

• Nueva operación de ransomware: Gunra

• Grupos de ransomware explotan claves de AWS guardadas localmente

💣 Exploits y malware

• Google: presuntos hackers chinos usan malware Brickstorm en operaciones de espionaje

• Cisco alerta de un zero day de iOS

• LastPass detecta una campaña de repositorios maliciosos en GitHub

🔍 Threat intel y vulnerabilidades

• Encuentran un nuevo infostealer que se vende por Telegram: DeerStealer

• EDR-Freeze, un nuevo método para bypassear antivirus

• Reportes: Kaspersky, Gartner, Lenovo, Forescout, Barracuda, Netskope, Red Canary.

🛠️ Tools y updates

• Lanzan Kali Linux 2025.3, con nuevas herramientas y mejoras en el WiFi

• Nueva herramienta detecta vulnerabilidades en repositorios

• GitHub endurece las medidas de seguridad para paquetes NPM: doble factor con estándar FIDO

📋 Privacidad y regulaciones

• Amazon, multado por 2.5 mil millones de dólares por engañar a usuarios a que se suscriban a Prime

• China prohíbe la compra de chips de Nvidia

• Europa: Windows 10 extenderá el soporte gratis

Share