Los delincuentes están chantajeando a los creadores de YouTube para que agreguen malware malicioso de minería de criptomonedas a sus videos, según una investigación de la firma de ciberseguridad Kaspersky.

Los piratas informáticos se han aprovechado del crecimiento en Rusia de los controladores de desvío de paquetes de Windows, que permiten a los usuarios de Internet eludir las restricciones geográficas.

Los sistemas de Kaspersky han detectado estos controladores en 2.4 millones de dispositivos en los últimos seis meses, y cada mes sucesivo desde septiembre ha sido testigo de un aumento en las descargas.

La popularidad de estos controladores ha llevado a un crecimiento en los videos de YouTube sobre cómo descargarlos e instalarlos. Pero los delincuentes incluso han encontrado una manera de insertar enlaces al malware SilentCryptoMiner en las descripciones de dichos videos.

Una táctica cada vez más común es presentar una advertencia de derechos de autor contra un video y luego ponerse en contacto con su creador, afirmando ser el desarrollador original del controlador del que se habla.

Según Kaspersky, los delincuentes pudieron llegar a un YouTuber popular con 60,000 suscriptores, y finalmente agregaron un enlace malicioso a videos con más de 400,000 visitas.

Pero en lugar de conducir a un repositorio legítimo como GitHub, los enlaces ofensivos llevaron a los espectadores a un archivo infectado, que desde entonces ha acumulado más de 40,000 descargas.

Kaspersky estima que, al amenazar a los creadores de YouTube con advertencias y eliminaciones de derechos de autor, los delincuentes responsables han podido infectar unas 2,000 computadoras en Rusia con malware de minería de criptomonedas.

Sin embargo, la empresa de seguridad sugiere que el total podría ser significativamente mayor si incluyera otras campañas que se han lanzado en los canales de Telegram.

Si bien el malware de minería de criptomonedas existe desde hace varios años, Leonid Bezvershenko, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky, dice que presionar a los creadores con quejas falsas de derechos de autor es una táctica más agresiva y única.

«Si bien ciertas amenazas, como los mineros y los ladrones de información, aprovechan regularmente las plataformas sociales para su distribución, esta táctica de coaccionar a los influencers muestra cómo están evolucionando los ciberdelincuentes», dice a Decrypt. «Al capitalizar la confianza entre los YouTubers y sus audiencias, los atacantes crean oportunidades de infección a gran escala».

El malware de minería utilizado por los atacantes, SilentCryptoMiner, se basa en el conocido minero de código abierto XMRig, y se utiliza para minar tokens como Ethereum, Ethereum Classic, Monero y Ravencoin.

Se inyecta a sí mismo en los procedimientos del sistema de una computadora a través del vaciado de procesos, y puede ser controlado de forma remota por sus originadores, quienes pueden detener la minería cuando el procedimiento del sistema original está activo.

«En esta campaña específica, la mayoría de las víctimas que identificamos están en Rusia, y el malware en sí estaba disponible principalmente para direcciones IP rusas», confirma Bezvershenko, quien no obstante afirma que los atacantes a menudo van a donde ven una oportunidad.

Esta última campaña llega en un momento en el que los virus de criptominería se han generalizado como una forma de malware, y el Centro para la Seguridad de Internet descubrió que CoinMiner fue su segundo malware más observado de 2024, por detrás del descargador no autorizado SocGholish.

Y en diciembre del año pasado, los investigadores de ciberseguridad de ReversingLabs descubrieron que los atacantes están insertando cada vez más malware de minería de criptomonedas en paquetes y herramientas de codificación de código abierto populares, que a menudo pueden atraer cientos de miles de descargas semanales.

Si bien puede ser difícil evitar los paquetes de codificación legítimos pero infectados si eres un desarrollador, Kaspersky aconseja a los usuarios generales de la web que permanezcan atentos y verifiquen la fuente de cualquier descarga.

Como dice Bezvershenko, «si un creador de YouTube o una guía te pide que desactives tu antivirus o afirma que un archivo es completamente seguro, trátalo con precaución y realiza una verificación de seguridad adicional».

Pagina Original:

YouTubers Blackmailed Into Promoting Crypto Mining Malware: Kaspersky