Los atacantes utilizan falsas reclamaciones de derechos de autor para chantajear a ‘YouTubers’ y obligarlos a distribuir malware de minería de criptomonedas, afectando a miles de seguidores.
Investigadores del Equipo Global de Investigación y Análisis de Kaspersky (GReAT) han identificado una sofisticada campaña maliciosa dirigida a creadores de contenido en YouTube. A través de un esquema de chantaje basado en reclamaciones fraudulentas de derechos de autor, los atacantes logran que los ‘YouTubers’ distribuyan malware de minería de criptomonedas sin darse cuenta.
El método inicia con dos quejas falsas por copyright contra el canal objetivo. Luego, los ciberdelincuentes amenazan con presentar una tercera reclamación, lo que provocaría la eliminación del canal. Para evitar perder su cuenta, los creadores caen en la trampa y comparten enlaces maliciosos, creyendo erróneamente que están protegiendo su contenido.
Miles de usuarios infectados
Kaspersky ha detectado que más de 2,000 personas descargaron el malware tras caer en la estafa, aunque la cifra real podría ser mucho mayor. Un canal comprometido con 60,000 suscriptores publicó varios videos con enlaces maliciosos, alcanzando más de 400,000 vistas. Además, el archivo infectado, alojado en un sitio web fraudulento, se descargó más de 40,000 veces.
El malware, identificado como SilentCryptoMiner, explota el interés en herramientas que permiten eludir restricciones en internet. Kaspersky ha registrado un incremento significativo en el uso de Packet Divert, una tecnología legítima de Windows que los atacantes han estado aprovechando. Las detecciones pasaron de 280,000 en agosto a casi 500,000 en enero, acumulando más de 2.4 millones en solo seis meses.
Cómo operan los atacantes
Los ciberdelincuentes modificaron un software legítimo publicado en GitHub, manteniendo su funcionalidad original para evitar sospechas. Sin embargo, en segundo plano, el programa instala SilentCryptoMiner, que utiliza los recursos del dispositivo para minar criptomonedas sin el conocimiento del usuario. Esto no solo ralentiza el rendimiento del equipo, sino que también incrementa el consumo eléctrico.
"Esta campaña demuestra una preocupante evolución en las tácticas de distribución de malware", advierte Fabio Assolini, director del equipo de Investigación y Análisis para América Latina en Kaspersky. "Aunque inicialmente se dirigió a usuarios de habla rusa, este enfoque podría expandirse a otras regiones, especialmente en mercados donde los usuarios buscan herramientas para evadir restricciones en línea".
Cuando una solución de seguridad detecta y elimina el malware, el instalador modificado muestra mensajes engañosos como: "Archivo no encontrado, desactiva todos los antivirus y vuelve a descargar el archivo, ¡esto te ayudará!", alentando a las víctimas a desactivar su protección y comprometiendo aún más la seguridad de sus sistemas.
El equipo GReAT de Kaspersky identificó varios indicadores de compromiso, incluyendo conexiones a dominios maliciosos como swapme[.]fun y canvas[.]pet, junto con hashes de archivos específicos. Los atacantes han demostrado ser persistentes, creando rápidamente nuevos canales de distribución cada vez que los anteriores son bloqueados.
Cómo protegerse de esta amenaza
Para evitar caer en este tipo de ataques, Kaspersky recomienda:
✅ Nunca desactivar tu solución de seguridad si un instalador te lo solicita, ya que es una táctica común para propagar malware.
✅ Estar atento a signos de infección, como sobrecalentamiento del dispositivo, pérdida de rendimiento o drenaje rápido de batería.
✅ Usar una solución de seguridad confiable, como Kaspersky Premium, que detecta malware de minería incluso cuando intenta ocultarse.
✅ Actualizar el sistema operativo y el software con regularidad, ya que muchas vulnerabilidades se solucionan en nuevas versiones.
✅ Verificar la reputación de los desarrolladores antes de instalar programas, revisando opiniones y antecedentes independientes.
📌 Para un análisis técnico detallado de esta amenaza, visita: Securelist.com
Publicar un comentario