Identificada una operación de distribución de 'malware' a gran escala a través de miles de vídeos de YouTube

Investigadores de ciberseguridad han identificado una operación de distribución de 'malware' a gran escala conocida como la Red Fantasma de YouTube, que utilizaba cuentas secuestradas para publicar miles de vídeos de supuestos tutoriales y demostraciones de 'software' que, en realidad, difundían programas de robo de información como Lumma.

Los ciberdelincuentes están protagonizando una creciente tendencia en la que explotan las plataformas 'online' y redes sociales, así como las diversas herramientas de interacción que estas ofrecen, para distribuir 'malware' de forma masiva, concretamente, ocultándose en espacios confiables para los usuarios de Internet, como es el caso de YouTube.

Un ejemplo de ello es la reciente campaña de ciberdelincuencia identificada por investigadores de la compañía de ciberseguridad Check Point, quienes han descubierto la Red Fantasma de YouTube, una operación de distribución 'malware' diseñada para robar datos de los usuarios.

En esta operación, los actores maliciosos utilizaban cuentas de YouTube falsas o comprometidas para publicar vídeos basados en 'software' pirateado y 'hackeos' de juegos, como señuelo para atraer a las posibles víctimas, según han explicado en un comunicado en su blog.

De esta manera, los ciberdelincuentes solicitaban la descarga de archivos protegidos con contraseña para, supuestamente, instalar un 'software' de pago de manera gratuita, como Adobe Photoshop o Microsoft Office, o disponer de un programa de trucos para videojuegos como Roblox.

Sin embargo, estos archivos realmente contenían 'malware' que infectaba el dispositivo de los usuarios y que se debía descargar desde Dropbox, Google Drive o Media Fire. Además, también se solicitaba a las víctimas desactivar Windows Defender temporalmente.

Como han detallado desde Check Point, concretamente se difundían programas de robo de información como Rhadamanthys y Lumma que, una vez instalados en los equipos de los usuarios, extraían credenciales de acceso a distintos servicios, billeteras de criptomonedas y datos del sistema de servidores de comando y control.

Durante la investigación, a lo largo de un año, los investigadores han identificado más de 3000 vídeos maliciosos que, tras ser reportados a Google, han sido eliminados como parte de la interrupción de "una de las operaciones de 'malware' más grandes vistas en YouTube".

Los investigadores han matizado que los ciberdelincuentes actualizaban periódicamente los enlaces y las cargas útiles de 'malware', de manera que las cadenas de infección persistían "incluso después de eliminaciones parciales".

"A diferencia del phishing tradicional, estos ataques tienen éxito porque parecen auténticos. La manipulación de la confianza en la plataforma representa una nueva frontera en la ingeniería social, donde la apariencia de legitimidad se convierte en un arma", ha apostillado Check Point.

Al respecto, han advertido a los usuarios que eviten descargar 'software' de fuentes no oficiales o pirateadas, así como que no desactiven nunca las protecciones antivirus, aunque lo solicite un instalador.

Igualmente, los expertos en ciberseguridad han recomendado "tratar con escepticismo" los vídeos de 'software' gratuito que tengan muchos me gusta o sean muy recomendados por los usuarios. "Al explotar mecanismos de interacción como los me gusta, los comentarios y las publicaciones, los atacantes están convirtiendo la credibilidad social en una herramienta de infección", ha explicado la compañía.