Los ciberdelincuentes han optado por comprometer cuentas de Google para crear canales en YouTube y subir contenido multimedia de forma masiva y así incluir un enlace para la supuesta descarga de un software relacionado con el video. No obstante, este link conduce a la descarga de troyanos (tipo de virus o malware) que se esconden en el equipo de la víctima y roba credenciales
PUBLICIDAD
Todo comienza por el robo de cuentas de Google para luego crear los canales y subir los videos. De esta manera los cibercriminales ya crearon miles de canales y subieron una gran cantidad de videos como parte de esta campaña. En apenas 20 minutos se crearon 81 canales con 100 videos, explicó un investigador de Cluster25 a BleepingComputer.
“Este tipo de troyanos se mantienen sigilosos en el equipo infectado en busca de todo tipo de contraseñas, así como datos bancarios almacenados en el navegador, cookies, tomar capturas de pantalla, e incluso realizar otras acciones que puede llevar adelante el operador de la amenaza a través de comandos que envía de forma remota”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Existen dos tipos de malware que se están distribuyendo a través de estos supuestos enlaces: RedLine Stealer y Racoon Stealer.
En el caso de RedLine recientemente un informe reveló que la mayoría de las credenciales robadas que actualmente se venden en mercados de la dark web. Claves de inicio de sesión en navegadores web, clientes FTP, aplicaciones de correo, o VPN, por nombrar algunas, han sido recolectadas utilizando este malware.
¿Cuál es el contenido que sirve se cebo?
Los videos son sobre tutoriales, criptomonedas, minería de criptomonedas, cracks y licencias de software, cheats para videojuegos, entre muchos otros temas. Estos videos suelen ser acerca de cómo llevar adelante una tarea utilizando una herramienta, la cual pueden descargar los visitantes desde el enlace que está disponible en la descripción del video.
Los usuarios pueden encontrar dos tipos de enlaces. En el caso de los videos que distribuyen el troyano RedLine el enlace suele ser de un acortador, como bitly, el cual redirige al usuario a un sitio de descarga de archivos que aloja el malware. En el caso de los videos que distribuyen Racoon Stealer, los enlaces suelen no estar acortados y redirigen a un dominio llamado “taplink” que aloja el código malicioso.
PUBLICIDAD
Por su parte, Google confirmó a BC que están al tanto de esta campaña y que están tomando medidas para bloquear esta actividad. A finales de octubre se reveló detalles acerca de una campaña similar que cuya actividad detectaron por primera vez en 2019 y que apunta a los creadores de videos en YouTube con malware para para robar cookies; entre ellos, Redline Stealer y Racoon Stealer, además de otros.
En este caso, la campaña consiste en correos de phishing enviados a los creadores de las cuentas de YouTube suplantando la identidad de compañías existentes para negociar una colaboración publicitaria. Luego de convencer a las víctimas mediante ingeniería social los atacantes llevan a las víctimas a un sitio que se hace pasar por la descarga de un software mediante enlaces de Google Drive, un PDF o Google Doc que contienen enlaces maliciosos.