Atacantes se han aprovechado de los fans del anime, distribuyendo malware a través de Crunchyroll.

Si te gusta el anime, probablemente habrás oído hablar de Crunchyroll. No en vano es el servicio de streaming oficial más popular de la web. Con una suscripción, podemos ver decenas de series, incluyendo fenómenos como Dragon Ball, Naruto, o Sword Art Online; además de las novedades de cada temporada, si queremos estar al día.

Aunque estemos ante un nicho relativamente pequeño comparado con servicios como Netflix, no podemos ignorar la popularidad de Crunchyroll entre los fans; ha conseguido plantar cara a servicios de streaming “piratas”, toda una proeza. Por eso el día de ayer fue tan preocupante para tantos aficionados, cuando se encontraron malware a través de Crunchyroll.

Todo empezó la madrugada del 4 de noviembre (hora de Madrid), cuando la portada de la web de Crunchyroll sufrió un “pequeño” cambio. En vez de mostrar las novedades, la web anunció a bombo y platillo un nuevo reproductor multimedia; Crunchyroll permite ver vídeos en la propia web con un reproductor Flash, o bien podemos instalar las apps oficiales para Windows, iOS y Android.

El nuevo reproductor llegaba con la promesa de “anime en 4K HD”, e incluso prometía novedades como “microtransacciones”. No estaba muy claro qué es lo que significaba todo esto, pero los visitantes no tenían mucha alternativa; al entrar en la web, automáticamente se iniciaba la descarga de un programa, “CrunchyViewer.exe”.

Atacantes distribuyen malware a través de Crunchyroll

Seguro que ya lo has intuido, pero en realidad ese programa es malware; un programa malicioso diseñado para atacar a los usuarios de crunchyroll.com. Y decimos esto porque es un código sorprendentemente nuevo; en el momento de su distribución, apenas aparecía en algunas bases de datos, y VirusTotal sólo mostraba dos detecciones.

Por lo tanto, es perfectamente posible que el antivirus usado por los usuarios no lo detectase. Aunque, y esto es un “minipunto” para Microsoft, aparentemente la protección en la nube de Windows Defender integrada por defecto en Windows 10 sí que fue capaz de detectar la amenaza. 24 horas después, el malware debería ser detectado por antivirus decentes.

Una vez instalado CrunchyViewer.exe, el malware crea una entrada de registro para ejecutarse cada vez que encendemos el ordenador; a continuación, se conecta a un servidor externo para descargar el código que el atacante quiera ejecutar. Por lo tanto, este malware es peligroso porque abre la puerta al atacante para que haga lo que quiera en nuestro sistema.

La buena noticia es que la web de Crunchyroll en realidad no fue hackeada; tus datos, contraseñas y números de tarjetas de crédito están seguros. Eso es porque los atacantes en realidad no atacaron los servidores, sino que redirigieron el tráfico a una web falsa; Ellation, la compañía madre de Crunchyroll, asegura que los atacantes consiguieron eso accediendo a la configuración de Cloudflare. Para contrarrestar esto, Crunchyroll cerró la página momentáneamente; aunque la web falsa estuvo disponible durante varias horas.

Qué hacer si hemos sido infectados

Si usas las apps de Crunchyroll para Windows, iOS y Android, no debes temer nada; simplemente dejaron de funcionar durante varias horas. En cambio, si visitaste la web durante el 4 de noviembre, puede que en realidad hayas visitado la web falsa. Si descargaste el malware pero no lo ejecutaste, tu ordenador no debería estar infectado.

Si sospechas que te puede haber infectado, sigue estos pasos:

• Borra el ejecutable “CrunchyViewer.exe” de tu sistema.
• Abre el menú inicio, escribe “regedit” y pulsa Intro. Esto abrirá el editor del registro de Windows.
• En la parte izquierda, navega hasta “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”.
• Si existe una entrada llamada “Java”, es que el sistema está infectado. Bórrala haciendo click derecho sobre ella y pulsando en “Eliminar”.
• Abre el explorador de archivos y navega hasta ” C:\Users\[Tu nombre de usuario]\AppData\Roaming\”.
• Encontrarás un archivo llamado “svchost.exe”. Bórralo.
• Por último, es recomendable que dejes que tu antivirus haga un análisis completo del sistema.

En el momento de escribir estas palabras, la web ha vuelto a la normalidad, y las apps han vuelto a funcionar. Crunchyroll se ha llevado muchas críticas por esta crisis. Tanto por el tiempo que ha tardado en reaccionar (probablemente porque el ataque ocurrió mientras los responsables de la web en EEUU estaban durmiendo), como por el hecho de que la web aún no use HTTPS; esto no hubiera evitado el ataque, pero el navegador habría avisado automáticamente a los usuarios de que la página no era de fiar.

Además, llama la atención que los atacantes se aprovechasen de