El ingenio de los ciberdelincuentes no cesa. Una de las tácticas más comunes es utilizar redes sociales y plataformas reconocidas para propagar malware entre sus usuarios. Es el caso de YouTube, donde más de una veintena de canales han sido eliminados recientemente por distribuir malware en archivos que se hacían pasar por software pirateado y cracks para videojuegos.
Las investigaciones de Proofpoint son concluyentes, pues en los archivos en los que se presentaban tutoriales y trucos para descargar aplicaciones, actualizaciones o contenidos relacionados, se escondían variedades de malware calificadas como infostealers. Hablamos de Vidar, StealC o Lumma Stealer, entre otros.
¿Cómo actúan?
Se concluye que, al tener algunos vídeos más de 1.000 visitas, pueden estar aumentadas artificialmente por bots, para que sus videos pareciesen más legítimos.
Para perpetrar sus ataques, los ciberdelincuentes generan vídeos con comentarios basados en valoraciones positivas, otorgando legitimidad al software crack en cuestión.
Los ciberdelincuentes emiten enlaces directos a GitHub o MediaFire, e incluso a Telegram o Discord, donde figuraba el link de descarga para aportar mayor veracidad a la operación. Además, aparecían instrucciones sobre cómo desactivar Windows Defender u otros antivirus.
Es un archivo ZIP en el que figura el archivo de instalación y el malware. Cuando se descarga es cuando comienza el problema. Además, se localiza el malware debido al uso de tamaños de archivos comprimidos pequeños, que al extraerse se expanden a unos 800 MB.
El perfil de estas cuentas que propagan malware
Suelen ser cuentas de usuario de YouTube de unos 110.000 – 115.000 suscriptores, con marca de verificación gris, para transmitir confianza. Además, los títulos de todos sus vídeos están escritos en tailandés.
No obstante, al identificarse la cuenta por parte de los investigadores de Proofpoint, suelen cambiar el idioma de los vídeos, aunque el contenido sigue siendo el mismo: videojuegos populares y software crackeado.
Muchos de los canales en los que se publicaron los vídeos sospechosos fueron robados a sus usuarios legítimos. Un ejemplo claro que señala el informe es que los nuevos vídeos publicados presentan contenidos muy diferentes a los de anteriormente, incluso con cambios de idioma.
El objetivo de los ciberdelincuentes
El target principal de los ciberdelincuentes no era otro que usuarios jóvenes, e incluso niños, los cuales tienen acceso a tarjetas de crédito o monederos de criptomonedas. También pueden almacenar en sus ordenadores información personal sensible que para los atacantes es susceptible de sustracción.
Los ciberdelincuentes propagan su malware entre usuarios domésticos, ya que éstos no poseen los mismos recursos o conocimientos para defenderse con respecto a las empresas. No obstante, la ganancia financiera no es tan elevada que al atentar contra empresas, aunque se lucran de datos sensibles.
Algunos de los juegos que figuran en los vídeos y son utilizados como ‘gancho’ son Roblox, Fortnite, GTA 5, Valorant, League of Legends y Genshin Impact, entre otros.
Hay que tener en cuenta que, según cálculos del Ranking Alexa, YouTube es en la actualidad la segunda página más vista, solo por detrás de Google (dueño de la plataforma).
La respuesta de Youtube
Al respecto, YouTube asegura públicamente que sus políticas de privacidad prohíben a los usuarios incluir contenido en los cuadros de descripción, siempre y cuando éstos violasen las pautas comunitarias de la plataforma, como la inclusión de malware.
Y es que YouTube emplea una combinación de aprendizaje automático con revisión humana, logrando los sistemas monitorear sus vídeos y transmisiones en directo para detectar y suprimir comportamientos extraños.
Desde Proofpoint se advierte la necesidad de que se sea consciente de estas técnicas, evitando vídeos similares publicados en el futuro. Para ello, es muy importante no cometer errores, supervisando tanto el contenido como los enlaces del canal, además de desconfiar siempre de los links acortados.
Se recomienda en todo caso instalar un antivirus eficiente, capaz de detectar muchas amenazas. Además, el usuario deberá apostar por las últimas versiones, tanto del sistema operativo como de cualquier programa que se usase.
Antecedentes de malware en YouTube
En 2021 se propagó una nueva campaña de malware que buscaba comprometer cuentas de Google para crear canales en dicha plataforma y subir vídeos de forma masiva. Éstos incluían un enlace para la descarga de un software relacionado con el vídeo, que a su vez conducía a la descarga de troyanos; RedLine Stealer y Racoon Stealer.
Los troyanos se mantienen plenamente sigilosos en el equipo infectado, buscando contraseñas, datos bancarios, capturas de pantalla o enviar información de manera remota. Posteriormente, se venden en la Dark Web en diferentes modalidades: claves de inicio de sesión en navegadores web, clientes FTP, aplicaciones de correo o VPN, entre otros.
En 2019, Google detectó otra campaña similar en la que los creadores de vídeos de YouTube empleaban malware para robar cookies. Una estrategia que buscaba suplantar la identidad de compañías existentes para negociar una posterior colaboración publicitaria, engañando a las víctimas mediante ingeniería social. Después, les impulsaban a descargar un software mediante enlaces de Google Drive, un PDF o Google Docs, poseedores de enlaces maliciosos.