Las defensas del kernel de Windows no son suficientes para detener un lucrativo mercado de trampas en los juegos, según muestra una investigación

Los piratas informáticos suelen eludir las protecciones del kernel de Microsoft Windows para permitir hacer trampa en juegos competitivos en línea, según muestra una nueva investigación. Académicos de la Universidad de Birmingham realizaron un análisis técnico de cómo funcionan los sistemas anti-trampas y trampas en los juegos y llevaron a cabo una investigación de mercado, analizando 80 sitios de venta de trampas en Europa y América del Norte durante tres meses.

El trabajo se describe en el artículo «Anti-trampas: ataques y eficacia de las defensas del lado del cliente» por Sam Collins, Marius Muench, Alex Poulopoulos y Tom Chothia que fue presentado en el taller sobre «Investigación sobre técnicas ofensivas y defensivas en el contexto de los ataques Man At The End (MATE)», en Salt Lake City el 18 de octubre.

Vender trucos de juegos no es ilegal en la mayor parte del mundo, aunque algunos sitios web de venta de trucos han sido demandados por desarrolladores de juegos, basándose en que los trucos constituyen una infracción de los derechos de autor del juego original.

Los investigadores descubrieron que los trucos de los juegos se venden mediante un modelo de suscripción, y el acceso por un mes cuesta entre 10 y 240 dólares. Los investigadores estiman de forma conservadora que las ganancias combinadas de los 80 sitios encuestados oscilan entre 12,8 millones y 73,2 millones de dólares al año, y el número de personas que compran trampas sólo en estos sitios web oscila entre 30.000 y 174.000 al mes, lo que convierte a este en un lucrativo mercado gris en línea.

Los investigadores investigaron las técnicas utilizadas en las trampas en los juegos en línea, así como las implementadas por las tecnologías «anti-trampas». La mayoría de los motores antitrampas modernos se ejecutan en el kernel de Windows, junto con aplicaciones como antivirus, con los niveles más altos de privilegios.

El software sólo puede ejecutarse en el kernel de Windows si ha sido aprobado y firmado por Microsoft. Esto lo hace más poderoso que el software que el usuario ejecuta normalmente. Un ejemplo de software a nivel de kernel es el sistema Crowdstrike que recientemente falló, provocando la caída de gran parte de Internet.

Si bien Microsoft permite los anti-trampas en el kernel, el estudio también reveló que el software de trampas comúnmente utiliza las debilidades en las protecciones de Windows para «inyectarse» en el kernel y obtener mayores privilegios. Muchas técnicas reflejan lo que se ve comúnmente en los dominios del malware y los antivirus, con una diferencia en la motivación.

Las discusiones en foros y las pruebas prácticas sugieren que los desarrolladores de trampas comúnmente pasan por alto las debilidades en las medidas de protección del kernel de Windows explotando controladores vulnerables de terceros, lo que permite que el software de trampas se afiance en el kernel.

Esto les permite eludir las protecciones implementadas por el software antitrampas, lo que permite a los usuarios hacer trampa en juegos competitivos en línea como Fortnite, Valorant y Apex Legends, todo por una tarifa de suscripción mensual. Esta técnica de inyección de kernel se ha observado anteriormente en ataques de ransomware avanzados para desactivar las protecciones antimalware antes del ataque principal.

Los investigadores encontraron trampas disponibles para cada juego que observaron, lo que significa que ningún sistema anti-trampas es inquebrantable. El equipo desarrolló una serie de pruebas utilizadas para comparar la efectividad de cada solución anti-trampas, y descubrió que los juegos Valorant y Fornite tienen la defensa más fuerte, mientras que Counter-Strike 2 y Battlefield 1 tienen la peor. Al comparar estos resultados con el análisis de mercado, encuentran una fuerte correlación entre la fuerza de un anti-trampas y el precio de un tramposo que lo rompe.

Sam Collins, investigador principal del proyecto, dijo: «Es fascinante ver ataques tan avanzados implementados en este contexto. Presenta un contrapunto intrigante al malware más tradicional y dañino, como el ransomware».

El coautor, el profesor Tom Chothia, añadió: «El estudio de trampas y antitrampas conduce a una mejor comprensión de las protecciones en Windows. Si bien ningún juego tiene un antitrampas inquebrantable, los tramposos tienen que pagar mucho más para hacer trampa en juegos con defensas más fuertes. . Los anti-trampas de juegos funcionan en el kernel de Windows, la disponibilidad completa de los trucos de juegos nos dice que las protecciones del kernel de Windows no son tan buenas como mucha gente pensaba».

El Dr. Marius Muench señaló además: «Es sorprendente que haya una economía a gran escala detrás de las trampas en los juegos y las defensas contra ellas, que es en gran medida ignorada por la comunidad de seguridad cibernética, a pesar de que existen modelos de atacantes y defensores bien definidos».

Los trucos de juegos se consideran un tipo de ataque Man-At-The-End (MATE), donde el atacante tiene control total sobre un sistema. A diferencia de una situación tradicional de virus/antivirus, el usuario final es el atacante y ayudará a que el ataque tenga éxito en lugar de intentar prevenirlo. Este trabajo representa un ejemplo importante de ataques MATE que se comercializan y despliegan a escala masiva.