VIRAL

YouTube se vuelve peligroso lugar para los gamers: un poderoso Troyano se autopropaga rápidamente

El malware se distribuye bajo anuncios de parches y trucos, así como de instrucciones sobre cómo piratear juegos

ADRIANA JUÁREZ

TECNOLOGÍA·13/11/2022 · 06:26 HS

Comparta este artículo

Su principal carga útil es el extendido RedLine stealer, uno de los troyanos más utilizados para obtener credenciales.
Su principal carga útil es el extendido RedLine stealer, uno de los troyanos más utilizados para obtener credenciales.Créditos: Adobe Stock

Un nuevo paquete malicioso de programas ha sido detectado en la plataforma de videos, YouTube. Su principal objetivo son los usuarios de los videojuegos, mejor conocidos como gamers y se distribuye en forma de un «archivo único de instalación». También se ha detectado que lleva títulos como «archivo autoextraible» entre otros que tienen como función plantarse en las computadoras o dispositivos móviles. Se sabe que su principal carga útil, recordemos que esto significa el conjunto de datos transmitidos que son enviados para facilitar la entrega del mensaje, es el extendido RedLine stealer, uno de los troyanos más utilizados para robar contraseñas y credenciales de los navegadores.

YouTube tiene 1.700 millones de visitantes únicos al mes. En total, el sitio recibe 14.300 millones de visitas al mes. FOTO: Pexels

De qué trata este virus

De acuerdo con los analistas de Kaspersky, compañía dedicada a la ciberseguridad y privacidad digital, los ciberdelincuentes buscan constantemente cuentas de videojuegos en línea aunado a recursos informáticos que les otorguen códigos de acceso para venderlos en la Dark Web o robar directamente sus perfiles. Según el reciente resumen de las ciberamenazas relacionadas con el gaming, el malware tipo stealer se distribuye a menudo bajo la apariencia de hacks, trucos y cracks de juegos. Esta vez, los investigadores descubrieron otro tipo de actividad maliciosa, te platicaremos paso a paso de qué se trata.

Los ciberatacantes colocaron paquetes corruptos en los canales de YouTube de las víctimas bajo la apariencia de contenido relacionado con los videojuegos junto con un enlace a un archivo tipo RAR autoextraíble en la descripción del video. Éste contiene a su vez varios archivos maliciosos, entre los que se encuentra el famoso RedLine stealer. Con ello, el ladrón es capaz de extraer: nombres de usuarios, contraseñas, cookies, datos de tarjetas bancarias y datos de autocompletado de los navegadores basados en Chromium y Gecko; datos de criptocarteras, mensajeros instantáneos y clientes FTP/SSH/VPN. 

Así como archivos con extensiones particulares de los dispositivos móviles. Además, se sabe que el RedLine puede descargar y ejecutar programas de terceros, ejecutar comandos en cmd.exe además de abrir enlaces en el navegador por defecto. El ciberatacante se propaga de varias maneras, incluso a través de correos electrónicos maliciosos de spam y cargadores de terceros.

YouTube generó más de 28.85 mil millones en ingresos solo por publicidad. Ahora es parte de Google. FOTO: Adobe Stock

Estos son los videos difundiendo el bundle

Recordemos que el «bundle», no es nada más que el paquete combinado de varios productos. También conocido como «payload», el RedLine, fue descubierto recientemente y se destaca por su capacidad de autopropagación. Varios archivos en el bundle de la descripción son responsables de ello.  Reciben videos y los publican en los canales de YouTube de los usuarios infectados junto con los enlaces a un archivo protegido por contraseña. Estos anuncian trucos y cracks, con lo que enganchan a las víctimas, comunmente gamers. Luego proporcionan instrucciones para hackear juegos y software populares. Entre los juegos mencionados están:

  1. APB Reloaded.
  2. CrossFire.
  3. DayZ.
  4. Dying Light 2.
  5. F1® 22.
  6. Farming Simulator.
  7. Farthest Frontier.
  8. FIFA 22.
  9. Final Fantasy XIV.
  10. Forza.
  11. Lego Star Wars.
  12. ¡Osu!
  13. Point Blank
  14. Project Zomboid
  15. Rust
  16. Sniper Elite
  17. Spider-Man
  18. Stray
  19. Thymesia
  20. VRChat.
  21. Walken.
Los investigadores lograron recopilar estas capturas de los videos que contenían el Troyano. Actualmente ya no se encuentran en la plataforma. FOTO: Kaspersky

¿Cómo funciona el troyano?

Una vez que las propias víctimas descargan el paquete original, el archivo RAR se autoextrae y contiene una serie de ficheros maliciosos, utilidades de limpieza y un script para ejecutar automáticamente el contenido desempaquetado. Algunos de los nombres de los documentos incluyen lenguaje explícito. Otro elemento que llamó la atención de los analistas es un «minero», cuyo objetivo principal son los gamers. Es decir, el malware está programado para atacar a cierto grupo dentro de la misma plataforma de YouTube. Además, Kasperky compartió que es muy probable que tengan instaladas tarjetas de video que puedan utilizarse para la minería.

La compañía de seguridad compartió que este es el contenido de los archivos autoextraibles. FOTO: Kaspersky

«Los gamers son uno de los grupos más habituales en el punto de mira de los ciberdelincuentes. En esta ocasión, los atacantes utilizaron contenidos relacionados con los juegos como cebo para robar las credenciales de las víctimas y para minar sus computadoras. Nuestro consejo sería elegir cuidadosamente las fuentes para saciar su sed de juego y no descargar ningún archivo sospechoso de cuentas poco fiables», comenta Oleg Kupreev, analista de seguridad senior de Kaspersky.

Así puedes protegerte de este y otros troyanos

Para protegerse del malware oculto en los paquetes de código abierto, Kaspersky recomienda lo siguiente:

  • Los repositorios de código abierto permiten a cualquiera publicar sus propios paquetes, y no todos son completamente seguros. Por ejemplo, los atacantes pueden suplantar paquetes populares de código abierto cambiando una o dos letras en el nombre para engañar al usuario y hacerle creer que está descargando el original. Por lo tanto, los usuarios no deben bajar la guardia además de no tratar estos paquetes como si fueran confiables.
  • En general, los entornos de desarrollo o construcción son objetivos idóneos para los hackers que intentan organizar ataques a la cadena de suministro. Eso significa que tales entornos requieren urgentemente una protección sólidaantimalware. como Busca opciones para asegurar la información personal y laboral de tu nube, tales como:
    • iCloud.
    • DropBox.
    • Claro drive.
    • Google Drive.
    • Microsoft OneDrive.
    • Amazon Drive.
  • Infórmate constantemente de las múltiples amenazas de los ciberdelincuentes. Recuerda que ellos se suman a las tendencias globales y lo ideal, aunado a las buenas prácticas de navegación es conocer las posibles artimañas que idean constantemente para el robo de información.

Notas relacionadas

Botón volver arriba