El Grupo de Análisis de Amenazas de Google publicó recientemente un informe en el que se detalla cómo en los últimos años los hackers de phishing han secuestrado cuentas populares de YouTube para ganar dinero a través de estafas de criptomonedas y otros métodos.
Desde finales de 2019, Google ha rastreado y desbaratado a los estafadores, descritos como «un grupo de hackers reclutados en un foro de habla rusa». Combinando malware basado en cookies y tácticas de ingeniería social, su modelo operativo no es muy sofisticado ni radicalmente innovador, pero sin embargo, extremadamente efectivo dada la popularidad del método.
Los operadores suelen empezar enviando un correo electrónico al titular de la cuenta de YouTube, transmitiendo su interés por una colaboración. La dirección «de» suele ser un correo electrónico comercial falsificado que se hace pasar por una empresa real. Las promociones pueden ser cualquier cosa, desde software antivirus o VPN hasta juegos en línea y aplicaciones de edición.
Al igual que cualquier otro acuerdo con influencers, el correo electrónico hablará de un acuerdo promocional estándar. El YouTuber tendría que promocionar el producto mostrando todo el proceso de descarga y abriéndolo para sus espectadores.
Pero cuando los creadores hacen clic en el enlace de descarga enviado por correo electrónico o compartido a través de Google Drive, son transferidos a un sitio de descarga de malware. Según Google, han descubierto al menos 1011 dominios y 15,000 cuentas de correo electrónico utilizadas con este fin.
Muchas han suplantado a empresas líderes del mercado como Steam, Cisco y Luminar. También hubo un par que se aprovecharon de la situación de la pandemia y promocionaron el «software de noticias Covid19».
Una vez que la víctima desprevenida descarga el software, éste toma las cookies del navegador de las máquinas de la víctima y las envía a los servidores del actor de la amenaza. El malware utilizado para ello está fácilmente disponible en Github.
Algunos de los más comunes son Vikro Stealer, Vidar, Raccoon, AdamantiumThief, Nexus stealer y Azorult. «La mayoría del malware observado era capaz de robar tanto las contraseñas como las cookies de los usuarios», según el análisis de Google.
Cuando se roban las «cookies de sesión», los hackers pueden hacerse pasar por la víctima. No requieren contraseñas ni necesitan pasar por otros bucles de autenticación. Una vez dentro, los hackers cambian inmediatamente la dirección de correo electrónico y la contraseña de recuperación de la víctima. Entonces controlan las cuentas y pueden bloquear a los creadores. Las cookies también pueden utilizarse para robar fondos de las cuentas financieras de la víctima.
Según un informe de investigación de TheRecord.Media, rastrearon una cuenta robada del jugador estadounidense MacroStyle hasta un mercado ruso. Este mercado en línea, llamado Trade Groups, presenta una interfaz similar a la de Amazon en la que los usuarios podían vender sus cuentas de redes sociales.
TheRecord descubrió una anomalía cuando varios usuarios habituales vendieron cientos de cuentas a diario. Esto indicaba que los usuarios no eran los propietarios originales de las cuentas. Los precios de las cuentas secuestradas en los mercados comerciales oscilaban entre los 3 y los 4000 dólares en función del número de suscriptores.
Los hackers utilizaban muchos canales para transmitir en directo ofertas de criptomonedas. El perfil se cambiaba para imitar a agencias comerciales legítimas o a empresas establecidas; muchos utilizaban variaciones de «Space X» o «Elon Musk». Los estafadores regalaban ofertas de cripto a cambio de una contribución inicial, maximizando así la monetización del hacker a través de la audiencia de la víctima.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.