Troyano "Blancanieves": cómo una película fallida se convirtió en herramienta de piratas informáticos

La última película de Disney sobre Blancanieves, que recibió una calificación de 1,6 sobre 10 en IMDb, resultó no solo ser el proyecto más fracasado del estudio, sino también una nueva amenaza en el ciberespacio. La cinta generó tan poco interés que ni siquiera fue incluida en la biblioteca de Disney+. Los ciberdelincuentes aprovecharon esta situación para difundir malware disfrazado de copia pirata de la película.

Según la información de los investigadores de la empresa Veriti, los atacantes publicaron un supuesto enlace torrent inofensivo en la plataforma de blogs TeamEsteem, la cual pertenece formalmente a una organización estadounidense que trabaja con familias y escuelas.

A primera vista, el enlace dirigía a una distribución común. Sin embargo, el archivo descargado contenía no solo un archivo de video, sino también un archivo de texto README y una aplicación sospechosa llamada «xmph_codec.exe». En las instrucciones se afirmaba que, sin instalar este códec, la película no se reproduciría. Trucos como este eran populares al inicio de la era de la piratería en internet y aún siguen siendo efectivos con los usuarios menos precavidos.

Al ejecutarse, el archivo malicioso inicia una cadena de acciones peligrosas. En primer lugar, desactiva las protecciones de Windows, incluido el antivirus integrado y los sistemas de prevención de amenazas. Luego, instala software malicioso adicional. Además, el troyano descarga el navegador TOR, mediante el cual establece comunicación con un servidor en la dark web a través de una dirección «.onion».

Los investigadores señalaron que el torrent se estaba propagando activamente: en el momento del descubrimiento, el archivo estaba siendo compartido por 45 usuarios, algunos de los cuales podrían ser equipos infectados que mantenían la distribución automáticamente. Esto acelera la expansión de la campaña maliciosa entre usuarios incautos.

Preocupa especialmente que el enlace malicioso fue publicado en el sitio «TeamEsteemMethod[.]com», anteriormente no relacionado con este tipo de esquemas. Según Veriti, el sitio pudo haber sido comprometido mediante la vulnerabilidad CVE-2023-40680 en una versión obsoleta del popular complemento Yoast SEO para WordPress, o mediante credenciales robadas de administrador.

El sitio fue utilizado como un canal de confianza para aumentar las probabilidades de que los usuarios descargaran el archivo malicioso. La reputación de la plataforma, creada para ayudar a padres y educadores, jugó a favor de los ciberdelincuentes, haciendo que el enlace resultara más convincente.

Los casos de propagación de malware bajo la apariencia de películas no son raros. En el pasado, se usaron esquemas similares con el estreno de películas como «John Wick 3», «Contagio», «Viuda Negra», «Joker», «Ford vs Ferrari» y «Piratas del Caribe». Los delincuentes se aprovechan de la alta demanda y la falta de fuentes legales para atraer a sus víctimas.

Para no caer en trampas como estas, los especialistas recomiendan evitar contenido pirata, usar soluciones antivirus actualizadas y desconfiar de enlaces provenientes de fuentes inesperadamente confiables. Intentar ver una película gratis puede tener consecuencias bastante lamentables.