Un virus troyano modificado a mano que infectó alrededor de 3.2 millones de computadoras con el sistema operativo Windows de Microsoft capturó alrededor de 26 millones de credenciales de acceso a distintos servicios, unos 6.6 millones de archivos personales, más de un millón de fotos y sobre 650.000 documentos escritos en Word o archivos en PDF.
Según indicó la compañía NordLocker, una subdivisión de la empresa Nord Security que ofrece el servicio de red privada virtual (VPN) NordVPN, mediante una publicación de blog, un análisis de una base de datos de 1.2 Terabytes (TB) que encontraron luego que un grupo de hackers publicó su localización por error, el virus que describieron como “poco sofisticado” infectó las computadoras entre 2018 y 2020 tras los usuarios visitar páginas web que ofrecen programas pagados libre de costo o al ejecutar programas incluidos en archivos o correos electrónicos infectados.
Además del botín de credenciales para acceder a servicios como Facebook, Twitter, Outlook y cuentas bancarias o mercados de criptomonedas, el virus también capturó 2 millardos de cookies, un archivo simple utilizado por prácticamente todos los portales de Internet que guarda información sobre las opciones de configuración de un servicio o, inclusive, las credenciales de acceso que un navegador puede ingresar automáticamente la próxima vez que un usuario visite una página.
El virus también capturó 1.471.416 credenciales de acceso a Facebook, 261.773 log-ins de Twitter y 153.754 credenciales para entrar a Instagram. Obtuvo, además, 189.740 credenciales para el servicio de juegos Steam de Valve y 42.589 del servicio Battle.net de Blizzard Entertainment; 209.534 credenciales de Amazon y 132.935 para eBay; 127.793 para entrar a cuentas de Apple y 41.854 para servicios de Samsung; 170.067 cuentas de Netflix, 106.690 de Twitch.tv, y 61.349 de Spotify; y accesos a 145.436 cuentas de PayPal y múltiples mercados de criptomonedas.
Las credenciales de acceso a 1.540.650 cuentas de Google también fueron comprometidas, al igual que 403.580 cuenta de Outlook.com.
NordLocker encontró que unos 400 millones de estos cookies, o un 22 por ciento, todavía contenían información válida o utilizable. Los seis millones de archivos fueron robados de las carpetas Desktop y Downloads, lugares creados por defecto al instalar Windows en los que la mayoría de los usuarios colocan sus archivos para tener fácil acceso a los mismos.
Como si fuera poco, el virus también tomó fotos (screenshots) del escrito de las computadoras infectadas, al igual que grabó imágenes de los usuarios que tenían cámaras conectadas a sus máquinas. La empresa indicó que una buena parte de las infecciones ocurrieron cuando las personas bajaron versiones pirateadas de programas como Photoshop, de Adobe, o herramientas para remover el requisito de ingresar un licencia para utilizar Windows.
La compañía añadió que, probablemente, el virus fue modificado de un malware adquirido en foros de hackers o en la web profunda (dark web).