En Resumen
- Los hackers extorsionaron a YouTubers para que añadieran enlaces a malware de minería.
- Kaspersky detectó millones de dispositivos infectados en los últimos meses.
- Los atacantes usaron denuncias falsas de derechos de autor para engañar a creadores.
Los criminales están chantajeando a creadores de YouTube para que añadan malware malicioso de minería de criptomonedas a sus vídeos, según una investigación de la empresa de ciberseguridad Kaspersky.
Los hackers han estado aprovechándose del crecimiento en Rusia de los controladores Windows Packet Divert, que permiten a los usuarios de internet eludir las restricciones geográficas.
Los sistemas de Kaspersky han detectado estos controladores en 2,4 millones de dispositivos durante los últimos seis meses, con cada mes sucesivo desde septiembre registrando un aumento en las descargas.
La popularidad de estos controladores ha llevado a un crecimiento en los vídeos de YouTube sobre cómo descargarlos e instalarlos. Pero los criminales incluso han encontrado una manera de insertar enlaces al malware SilentCryptoMiner en las descripciones de dichos vídeos.
Una táctica cada vez más común es presentar una reclamación por derechos de autor contra un vídeo y luego contactar a su creador, afirmando ser el desarrollador original del controlador que se analiza.
Según Kaspersky, los criminales pudieron llegar a un YouTuber popular con 60.000 suscriptores, añadiendo finalmente un enlace malicioso a vídeos con más de 400.000 visualizaciones.
Pero en lugar de dirigir a un repositorio legítimo como GitHub, los enlaces ofensivos llevaron a los espectadores a un archivo infectado, que desde entonces ha acumulado más de 40.000 descargas.
Kaspersky estima que, al amenazar a los creadores de YouTube con reclamaciones y eliminaciones por derechos de autor, los criminales responsables han podido infectar unos 2.000 ordenadores en Rusia con malware de minería de criptomonedas.
Sin embargo, la empresa de seguridad sugiere que el total podría ser significativamente mayor si incluyera otras campañas que se han lanzado en canales de Telegram.
Aunque el malware de minería de criptomonedas existe desde hace varios años, Leonid Bezvershenko —investigador de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky— dice que presionar a los creadores con falsas quejas de derechos de autor es una táctica más agresiva y única.
"Mientras que ciertas amenazas —como mineros y ladrones de información— regularmente aprovechan las plataformas sociales para su distribución, esta táctica de coaccionar a influencers muestra cómo están evolucionando los ciberdelincuentes", dijo a Decrypt. "Al capitalizar la confianza entre los YouTubers y sus audiencias, los atacantes crean oportunidades de infección a gran escala".
El malware de minería utilizado por los atacantes, SilentCryptoMiner, está basado en el conocido minero de código abierto XMRig, y se utiliza para minar tokens como Ethereum, Ethereum Classic, Monero y Ravencoin.
Se inyecta en los procedimientos del sistema de un ordenador mediante vaciado de procesos, y puede ser controlado remotamente por sus creadores, quienes pueden detener la minería cuando el procedimiento original del sistema está activo.
"En esta campaña específica, la mayoría de las víctimas que identificamos están en Rusia, y el malware en sí estaba principalmente disponible para direcciones IP rusas", confirma Bezvershenko, quien no obstante afirma que los atacantes a menudo van donde ven una oportunidad.
Esta última campaña llega en un momento en que los virus de minería de criptomonedas se han generalizado como forma de malware, con el Centro de Seguridad de Internet encontrando que CoinMiner fue su segundo malware más observado de 2024, detrás del descargador drive-by SocGholish.
Y en diciembre del año pasado, los investigadores de ciberseguridad de ReversingLabs descubrieron que los atacantes están insertando cada vez más malware de minería de criptomonedas en populares paquetes y herramientas de codificación de código abierto, que a menudo pueden atraer cientos de miles de descargas semanales.
Si bien puede ser difícil evitar paquetes de codificación legítimos, pero infectados si eres desarrollador, Kaspersky aconseja a los usuarios de la web mantenerse vigilantes y verificar la fuente de cualquier descarga.
Como dice Bezvershenko, "Si un creador de YouTube o una guía te pide desactivar tu antivirus o afirma que un archivo es completamente seguro, trátalo con precaución y realiza una verificación de seguridad adicional".
Editado por Stacy Elliott.