La nueva estrategia de los cibermalos consiste en atacar a creadores de contenido populares de YouTube con falsas reclamaciones de derechos de autor. Al que flojea le extorsionan con un objetivo claro: la distribución de malware de minería de criptomonedas a miles de seguidores.
Analistas del Equipo Global de Investigación y Análisis (GReAT) de la compañía de ciberseguridad Kaspersky han detectado una sofisticada campaña maliciosa en la que los ciberdelincuentes extorsionan a creadores de contenido de YouTube para que distribuyan software malicioso.
Los derechos de autor como treta
El proceso que siguen es el siguiente: los atacantes presentan dos denuncias fraudulentas por derechos de autor contra los youtubers y luego los amenazan con una tercera reclamación, justo la que provocaría la eliminación de sus canales. En un intento desesperado por evitarlo, los afectados, sin sospechar el engaño, acaban promocionando enlaces maliciosos bajo la falsa creencia de que así podrán salvar sus cuentas.
La telemetría de Kaspersky confirmó que más de 2.000 usuarios finales fueron infectados tras descargar la herramienta, aunque la cifra real de afectados podría ser mucho mayor. Un canal comprometido con 60.000 suscriptores publicó varios videos con enlaces maliciosos, que acumularon más de 400.000 visualizaciones. El archivo infectado, alojado en un sitio web fraudulento, registró más de 40.000 descargas.
El malware, identificado como SilentCryptoMiner, tiene éxito por la creciente demanda de herramientas para eludir las restricciones de internet. La investigación de Kaspersky muestra un aumento significativo en el uso de dispositivos legítimos de Windows Packet Divert, una tecnología comúnmente usada en las utilidades de desvío, con detecciones que aumentaron de aproximadamente 280.000 en agosto a casi 500.000 en enero, sumando un total de más de 2,4 millones en seis meses.
Cibermalos muy persistentes
Los atacantes pusieron en la diana a usuarios que buscan estas herramientas de evasión, modificando un software legítimo de circunvención de Inspección Profunda de Paquetes (DPI) publicado originalmente en GitHub. La versión maliciosa conserva la funcionalidad original para evitar sospechas, pero instala en secreto SilentCryptoMiner, que explota los recursos informáticos para minar criptomonedas sin el conocimiento ni el consentimiento del usuario. Esto provoca una degradación significativa del rendimiento del dispositivo y un aumento en el consumo de electricidad.
Cuando las soluciones de seguridad detectan y eliminan los componentes maliciosos, el instalador modificado anima a los usuarios a desactivar su antivirus, mostrando mensajes del tipo: “Archivo no encontrado. Desactiva todos los antivirus y vuelve a descargar el archivo, ¡te ayudará!”. Esto compromete todavía más la seguridad del sistema.
El equipo GReAT de Kaspersky identificó varios indicadores de compromiso, incluyendo conexiones a dominios como swapme[.]fun y canvas[.]pet, junto con hashes específicos de archivos. Los cibermalos se han caracterizado por una gran persistencia: creaban rápidamente nuevos canales de distribución cada vez que los anteriores eran bloqueados.
Consejos contra las amenazas de malware
Para evitar ser víctima de este tipo de amenazas, los expertos de Kaspersky recomiendan:
- Nunca desactives tu solución de seguridad cuando lo pidan los archivos de la instalación, ya que se trata de una táctica habitual para facilitar el despliegue de malware.
- Presta atención a comportamientos inusuales en tu dispositivo, como sobrecalentamiento, consumo excesivo de batería o bajo rendimiento, que pueden indicar la presencia de un minero de criptomonedas.
- Utiliza una solución de seguridad fiable que pueda detectar malware de minería incluso cuando intenta ocultar su actividad.
- Mantén tu sistema operativo y software siempre actualizados, ya que muchas vulnerabilidades se pueden solucionar con versiones actualizadas.
- Verifica la fiabilidad de los desarrolladores antes de instalar nuevas aplicaciones, consultando reseñas independientes e investigando su historial.