YouTube: vía videos en la app, un virus infecta dispositivos y roba credenciales

Una nueva campaña de malware está atacando a usuarios con una cuenta de Google y, posteriormente, de YouTube. Estos criminales crean usuarios y canales en la app de videos y suben contenido masivo. En algún lado de los archivos, ya sea en la descripción, en el mismo contenido multimedia o en los comentarios, ellos dejan un link que parece inofensivo, pero que es, en realidad, un virus troyano que extrae ilegalmente credenciales del dispositivo de la víctima.

Así lo informó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, empresa dedicada a la ciberseguridad en el continente, durante una entrevista difundida por diversos medios.

El primer paso del ataque cibercriminal que se está llevando a cabo se centra en el hurto de cuentas de Google para luego crear los canales y subir los videos. Así, los cibercriminales ya han creado miles de canales y han amasado un arsenal de videos ‘spam‘ en los que está escondido el enlace infectado.

Según una investigación del sitio web especializado en actividad hacker Cluster25, en tan solo 20 minutos, 81 canales con 100 videos cada uno han nacido en YouTube.

Una vez que el virus infecta al dispositivo de la persona que cayó en la trampa, este se mantendrá sigiloso “en busca de todo tipo de contraseñas, así como datos bancarios almacenados en el navegador, cookies, capturas de pantalla, e incluso realiza otras acciones que puede llevar adelante el operador de la amenaza a través de comandos que envía de forma remota”, explica Gutiérrez.

Se identificaron dos tipos de malware activos a través de los links contaminados: RedLine Stealer y Racoon Stealer. Según informes, la mayor parte de las credenciales hurtadas por el primero de ellos actualmente se están subastando en mercados de la ‘dark web’. La información extraída va desde claves de inicio de sesión en navegadores web, clientes FTP hasta aplicaciones de correo y Virtual Private Networks.

¿Cómo protegerte de este malware?

Los videos que sirven como cebo para estas actividades maliciosas suelen tratar sobre tutoriales, criptomonedas, minería de criptomonedas, cracks y licencias de software y códigos para videojuegos. Usualmente, el formato tendrá que ver con enseñar al usuario a realizar una tarea con una herramienta determinada. Se le guiará hacia el link en donde, supuestamente, podrán descargar los elementos y así inicia el robo.

Los usuarios pueden encontrar dos tipos de enlaces. En el caso de los archivos que contengan al virus RedLine, el enlace suele ser de un acortador, como ‘bitly’, y te llevará a un sitio de descarga de archivos que aloja el malware.

En el caso de los videos que distribuyen al Racoon Stealer, los links suelen no estar acortados y redirigen a un dominio denominado como ‘taplink’.

Representantes de Google confirmaron al medio digital Bleeping Computer que ya se están tomando medidas para bloquear esta actividad.