El término “Solara Executor” ha empezado a circular por distintos sitios y foros como Reddit, Discord y YouTube, mayoritariamente relacionados con Roblox, una plataforma que permite crear y jugar videojuegos diseñados por usuarios. Ofrece una interfaz para ejecutar scripts en Roblox, facilitando la personalización y optimización de la experiencia de juego. Funciona inyectando código dentro del entorno del juego, una práctica que viola los términos de servicio de Roblox y se clasifica como game hacking. Aunque Roblox bloquea regularmente algunas versiones, los desarrolladores de Solara y la comunidad encuentran formas de evadir detecciones, lo que mantiene operativo el ejecutor.

“El caso de Solara refleja un fenómeno común en el ecosistema de Roblox: herramientas que ofrecen funcionalidades avanzadas pueden convertirse en un riesgo latente. Aunque la versión oficial de un ejecutor puede no mostrar un comportamiento peligroso, el diseño de estas herramientas basado en inyección de código, permisos elevados y actualizaciones remotas crea una superficie de ataque que puede ser explotada por los desarrolladores de estos programas o por terceros”, comenta Fabiana Ramírez Cuenca, investigadora de Seguridad Informática de ESET Latinoamérica.

Al igual que otras herramientas de este tipo, Solara conlleva riesgos: se han detectado versiones alteradas utilizadas para la distribución de malware, desde RATs hasta cryptominers. Más allá de la funcionalidad del ejecutor, uno de los mayores riesgos radica en las versiones falsas que circulan con fines maliciosos. Algunos antivirus detectan a Solara, catalogándolo como malicioso, por su comportamiento potencialmente sospechoso.

“Esta detección no es un simple falso positivo ya que refleja el riesgo inherente de la herramienta, debido a que su mecanismo (inyección de código, permisos elevados y actualizaciones dinámicas) puede ser utilizado por el desarrollador para ejecutar acciones dañinas en cualquier momento. En principio se la clasifica como aplicaciones potencialmente no deseadas (PUA, por sus siglas en inglés). Aunque muchos defiendan a un ejecutor y su comportamiento benigno, existe un potencial riesgo de seguridad. En especial si no sabemos mucho sobre los creadores de la herramienta”, agrega la investigadora de ESET.

En el ecosistema de Roblox, existen precedentes de ejecutores populares que, si bien comenzaron siendo benignos bajo el control de sus desarrolladores originales, fueron comprometidos por terceros y distribuyeron código malicioso en algunas distribuciones no oficiales. En 2022, se descubrió que cibercriminales ocultaron malware junto a una versión legítima de Synapse X y la distribuyeron, demostrando cómo el compromiso de un ejecutor puede convertir una herramienta sin fines maliciosos en un vector de ataque.

Otro caso que ejemplifica los riesgos del uso de ejecutores es el del ejecutor para Roblox llamado Wave. Según reveló un usuario en X aprovecharon un fallo de seguridad para acceder remotamente a computadoras de usuarios para desinstalar el ejecutor y mostrar un mensaje de advertencia. El mensaje buscaba concientizar a los usuarios sobre los peligros que implica instalar programas de reputación desconocida y demuestra cómo incluso herramientas consideradas «legítimas» pueden representar riesgos si contienen vulnerabilidades no corregidas o si caen en manos equivocadas.

Malware disfrazado como Solara Executor

Existen muchas versiones falsas de Solara que se distribuyen en sitios que simulan ser oficiales, falsos perfiles de Discord, videos en YouTube y publicaciones en Reddit, todos diseñados para engañar a quienes buscan descargar el ejecutor. ESET observó ejemplos de falsos executors de Solara que infectan con malware como troyanos de acceso remoto (RAT), infostealers que roban credenciales o hasta ransomware que cifra los archivos del equipo y solicita el pago de un rescate para recuperarlos.

Hay algunas versiones de Solara que se comportaron como ejecutables maliciosos, por ejemplo:

• Se han identificado casos de distribución del malware Meduza a través de un ejecutable descargado de un repositorio de GitHub (RobloxInjector.zip), según informe de run.
• Otro informe reveló que se utilizó Solara para ransomware Chaos, una operación de RaaS desde 2021, donde el malware se camuflajea como SolaraBootstrapper.exe para engañar a los gamers.
• Un análisis de RevDiaries reveló que ciertas versiones de Solara distribuyen el infostealer Rhadamanthys acompañado de un cryptominer, propagándose mediante mensajes en Discord y sitios fraudulentos que imitan al oficial.

A continuación, ESET recopiló algunas imágenes de usuarios que en videos en YouTube o en Reddit comparten sus experiencias tras haber descargado posiblemente una versión falsa. La mayoría manifiesta haber sufrido el robo de sus cuentas de redes sociales, correo, incluso de las cuentas de Roblox.

Usuarios de distintas partes del mundo comentan sus malas experiencias descargando falsas versiones de Solara. Fuente de esta imagen referencial: YouTube

Fuente de esta imagen meramente referencial: Florian Olivo en Unsplash

Usuario en Reddit que se infectó con malware, luego de instalar una versión falsa de Solara. Fuente de esta imagen referencial: Reddit

Otra gran problemática de Solara surge a partir de la forma en la que se distribuye, en tanto vemos versiones (reales o apócrifas) que se descargan de sitios web, otras de Discord e incluso de enlaces compartidos en YouTube. Se observaron sitios que simulan ser el oficial y que utilizan URL como: “solaraexecutor”, “devsolara” o “solaraexec”, por nombrar algunos. Con Discord parece ocurrir lo mismo y la comunidad discute cuál es el canal de Discord oficial.

Personas intentando averiguar e identificar cuál es el Discord oficial. Fuente de esta imagen referencial: Reddit

La principal recomendación de prevención de ESET es NO utilizar ejecutores ni herramientas para hacer trampa en Roblox por todos los riesgos que representa. Igualmente, si de todas maneras se decide avanzar con su utilización, se comparten algunas recomendaciones:

• No descargar ejecutores desde fuentes no verificadas: En caso de hacerlo, analizar el archivo en sitios como VirusTotal.
• Prestar atención al origen: Verificar enlaces compartidos en Discord, YouTube o GitHub, y revisar la reputación de los sitios web que ofrecen diversas versiones.
• Revisar permisos solicitados: Antes de ejecutar, comprobar qué privilegios pide el ejecutable y evitar conceder permisos innecesarios.
• Mantenerse informado: Seguir las tendencias en foros y comunidades confiables para conocer nuevas alertas o vulnerabilidades.
• Contar con soluciones de seguridad actualizadas: Utilizar antimalware y otras herramientas de protección en su última versión para detectar y detener amenazas.
• Considerar alternativas seguras: Existen herramientas legítimas de personalización de Roblox que no implican los mismos riesgos que un executor no auditado.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener más datos preventivos y protegerse se encuentra disponible en Venezuela: https://www.eset.com/ve/ y en sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imágenes referenciales suministrada por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer