Investigadores del Equipo Global de Investigación y Análisis de Kaspersky (GReAT) han detectado una campaña maliciosa que utiliza el chantaje para obligar a creadores de contenido de YouTube a distribuir software malicioso sin saberlo. El esquema ha infectado a miles de usuarios y podría expandirse a nivel global.
Un equipo de investigadores de Kaspersky ha expuesto una campaña de malware altamente sofisticada que tiene como objetivo principal a creadores de contenido en YouTube. La estrategia de los atacantes consiste en chantajear a estos creadores para que, de manera involuntaria, promuevan y distribuyan software malicioso entre sus seguidores.
El modus operandi comienza con el envío de dos quejas fraudulentas por derechos de autor contra los canales de los creadores. Posteriormente, los atacantes los amenazan con una tercera reclamación, lo que resultaría en la eliminación de sus canales. Para evitar perder sus cuentas, los afectados terminan promoviendo enlaces maliciosos, creyendo que son legítimos y que así protegerán su contenido.
Según Kaspersky, más de 2,000 personas han sido infectadas con este malware tras descargar una supuesta herramienta, aunque se estima que la cifra real podría ser mucho mayor. Un ejemplo destacado es un canal de YouTube con 60,000 suscriptores que publicó varios videos con enlaces maliciosos, acumulando más de 400,000 vistas. Además, el archivo infectado, alojado en un sitio web fraudulento, fue descargado más de 40,000 veces.
El malware, identificado como SilentCryptoMiner, se aprovecha del interés de los usuarios por herramientas que permiten eludir restricciones en internet. Los atacantes modificaron un software legítimo originalmente publicado en GitHub, manteniendo su funcionalidad original para evitar sospechas, pero instalando en segundo plano el SilentCryptoMiner. Este malware utiliza los recursos del dispositivo para minar criptomonedas, lo que no solo ralentiza el rendimiento del equipo, sino que también aumenta el consumo de electricidad sin que la víctima lo note.
Fabio Assolini, director del equipo de Investigación y Análisis para América Latina en Kaspersky, advirtió: «Esta campaña demuestra una evolución preocupante en las tácticas de distribución de malware. Aunque inicialmente se dirigió a usuarios de habla rusa, este enfoque podría extenderse fácilmente a otras regiones, especialmente en un contexto de creciente fragmentación de internet».
Además, cuando las soluciones de seguridad detectan y eliminan los componentes maliciosos, el instalador modificado engaña a los usuarios para que desactiven su protección antivirus con mensajes como: «Archivo no encontrado, desactiva todos los antivirus y vuelve a descargar el archivo, ¡esto te ayudará!», lo que compromete aún más la seguridad del sistema.
El equipo GReAT de Kaspersky ha identificado varios indicadores de compromiso, como conexiones a dominios sospechosos (swapme[.]fun y canvas[.]pet) y hashes de archivos específicos. Los atacantes han demostrado ser persistentes, creando rápidamente nuevos canales de distribución cada vez que los anteriores son bloqueados.
Recomendaciones de Kaspersky para protegerse:
- No desactivar soluciones de seguridad: Ignorar las solicitudes de instaladores que piden desactivar el antivirus.
- Monitorizar el rendimiento del dispositivo: Prestar atención a señales como sobrecalentamiento, drenaje rápido de batería o pérdida de rendimiento.
- Usar soluciones de seguridad confiables: Herramientas como Kaspersky Premium pueden detectar malware de minería incluso cuando intenta ocultarse.
- Mantener el software actualizado: Actualizar regularmente el sistema operativo y las aplicaciones para corregir vulnerabilidades.
- Verificar la reputación de los desarrolladores: Revisar opiniones independientes y antecedentes antes de instalar nuevas aplicaciones.
Esta campaña subraya la importancia de mantenerse alerta ante tácticas cada vez más elaboradas de ciberdelincuentes, que buscan explotar la confianza de los usuarios y creadores de contenido para propagar malware.
