2K, una de las empresas y desarrolladoras de vídeos juegos más conocidas en el mundo del Gaming, ha confirmado que su plataforma de Support (o mesa de ayuda) fue comprometida y se estaría utilizando para dirigirse a los clientes con tickets de soporte falsos que adjuntan un malware a través de enlaces incrustados.
«Hoy temprano, nos dimos cuenta de que un tercero no autorizado accedió ilegalmente a una cuenta utilizando las credenciales de uno de nuestros proveedores para la plataforma de la mesa de ayuda que 2K utiliza para brindar soporte a nuestros clientes» Comunico la cuenta de soporte de 2K en Twitter el pasado martes 20 de septiembre.
«La parte no autorizada envió una comunicación a ciertos jugadores que contenía un enlace malicioso. Por favor, no abra ningún correo electrónico ni haga clic en ningún enlace que reciba de la cuenta de soporte de 2K Games«.
La compañía aconsejó a aquellos que podrían haber hecho clic en uno de los enlaces maliciosos enviados por los atacantes, que tomaran medidas para mitigar el impacto. Algunas de estas medidas son:
- Restablecer las contraseñas de las cuentas de usuario almacenadas en el navegador web (por ejemplo, Autorrelleno de Chrome).
- Habilite el segundo factor de autentificación (MFA/2FA) siempre que esté disponible, especialmente en cuentas personales de correo electrónico, banca y proveedores de teléfono o Internet. Si es posible, evite usar MFA que se base en la verificación de mensajes de texto: usar una aplicación de autenticación sería el método más seguro.
- Instalar y ejecutar un antivirus de buena reputación.
- Verifique la configuración de su cuenta para ver si se han agregado o cambiado reglas de reenvío en sus cuentas de correo electrónico personales.
2K agregó que en su portal de soporte, que ha desconéctate la plataforma de soporte mientras el editor de videojuegos investiga y aborda las consecuencias del incidente. Además, la compañía dijo que emitiría un aviso para que los jugadores sepan cuándo será seguro comenzar a interactuar con su personal de soporte.
Si bien los usuarios confirmaron que estos tickets eran accesibles a través del portal de la mesa de ayuda de 2K, numerosos destinatarios declararon en Twitter y en Reddit que no fueron ellos quienes abrieron estos tickets de soporte.
Poco después de que se abrieran los tickets, también recibieron otro correo electrónico en respuesta al ticket original (de un supuesto representante de soporte de 2K llamado «Prince K«), diferentes correos electrónicos que también incluían enlaces para descargar un archivo llamado «2K Launcher.zip» de 2ksupport.zendesk.com.
El equipo de CronUp Ciberseguridad analizo la muestra que se les estaba llegando a los usuarios, dando positivo para RedLine Stealer. La muestra se encuentra disponible en la plataforma de SandBox, Any.Run.
IoC:
C2: 103[.]195[.]100[.]184
Contexto: RedLine Stealer es un malware que esta diseñado para el robo de información de una amplia gama de datos después de infectar el sistema operativo, incluido el historial del navegador web, cookies, contraseñas de navegador guardadas, tarjetas de crédito, credenciales de VPN, contenido de mensajería instantánea, billeteras de criptomonedas y más.
Si bien 2K aún no ha proporcionado más información sobre el como pudo haber ocurrido este hecho, no está claro si el ataque a su sistema de soporte está vinculado al hackeo de Rockstar Games durante el fin de semana.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
