Alerta por códigos maliciosos que roban credenciales a través de videos en YouTube

Cibercriminales distribuyen código informático zorro («malware», en inglés) para robar credenciales mediante enlaces en la descripción de videos en YouTube sobre cracks, criptomonedas, licencias, cheats para juegos, entre otros temas.

Según un mensaje enviado a iProfesional por Eset, compañía especializada en detección proactiva de amenazas, la nueva campaña escudriñamiento distribuir malware a través de popular plataforma de videos propiedad de Google.

En esta oportunidad, ciberdelincuentes comprometen cuentas de Google para crear canales en esta plataforma y subir videos de forma masiva que incluyen un enlace para la supuesta descarga de un software relacionado con el video. Sin retención, el enlace conduce a la descarga de troyanos que se esconden en el equipo de la víctima para robar credenciales.

El proceso comienza por el robo de cuentas de Google para luego crear los canales y subir los videos. De esta guisa los cibercriminales crearon miles de canales y subieron una gran cantidad de videos como parte de esta campaña.

En escasamente 20 minutos se crearon 81 canales con 100 videos, explicó un investigador de Cluster25 a BleepingComputer (BC). Son dos los malware que se distribuyen: RedLine Stealer y Racoon Stealer, aunque no a través de los mismos videos o enlaces.

YouTube es la plataforma de video más popular del mundo.

Troyanos y estafas

«Este tipo de troyanos se mantienen sigilosos en el equipo infectado en escudriñamiento de todo tipo de contraseñas, así como datos bancarios almacenados en el navegador, cookies, tomar capturas de pantalla, e incluso realizar otras acciones que puede sufrir delante el cirujano de la amenaza a través de comandos que envía de forma remota», comentó Camilo Gutiérrez Amaya, caudillo del laboratorio de investigación de Eset Latinoamérica.

En el caso de RedLine, un mensaje reveló que la mayoría de las credenciales robadas que se venden en mercados de la web oscura, como claves de inicio de sesión en navegadores web, clientes FTP, aplicaciones de correo y redes privadas virtuales (VPN, sigla en inglés), por nombrar algunas, han sido recolectadas utilizando este malware.

Los videos son sobre tutoriales, criptomonedas, minería de criptomonedas, cracks y licencias de software, cheats para videojuegos, entre muchos otros temas. Estos videos suelen ser acerca de cómo sufrir delante una tarea utilizando una aparejo, la cual pueden descargar los visitantes desde el enlace que está arreglado en la descripción del video.

Los usuarios pueden encontrar dos tipos de enlaces. En el caso de los videos que distribuyen el troyano RedLine el enlace suele ser de un acortador, como bit.ly, el cual redirige al heredero a un sitio de descarga de archivos que aloja el malware. En el caso de los videos que distribuyen Racoon Stealer, los enlaces suelen no estar acortados y redirigen a un dominio llamado «taplink» que aloja el código zorro.

Google confirmó a BC que está al tanto de esta campaña y que toma medidas para sitiar esta actividad. Google reveló este mes detalles acerca de una campaña similar que cuya actividad detectaron por primera vez en 2019 y que apunta a los creadores de videos en YouTube con malware para para robar cookies; entre ellos, Redline Stealer y Racoon Stealer, adicionalmente de otros.

En este caso, la campaña consiste en correos de phishing enviados a los creadores de las cuentas de YouTube suplantando la identidad de compañías existentes para negociar una colaboración publicitaria.

Luego de convencer a las víctimas mediante ingeniería social los atacantes llevan a las víctimas a un sitio que se hace producirse por la descarga de un software mediante enlaces de Google Drive, un PDF o Google Doc que contienen enlaces maliciosos.

Los delincuentes apuntan a espectadores ávidos de trucos.

Cómo ampararse

Desde Eset recomendaron que para estar protegidos de este tipo de amenazas es importante que los usuarios de cuentas de Google revisen la seguridad de sus contraseñas y que creen hábitos saludables en cuanto a la dirección de las contraseñas.

Crear contraseñas seguras y únicas, utilizar un administrador de contraseñas para guardarlas y cambiarlas cada cierto tiempo. Además, implementar la autenticación en dos pasos en Google.