Un nuevo esquema de malware apunta a creadores de contenido con muchos seguidores. El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha interceptado una campaña maliciosa altamente sofisticada cuyo foco principal son los creadores de contenido en YouTube.
Los ciberdelincuentes manipulan a sus víctimas mediante chantajes, forzándolas a distribuir, sin que se den cuenta, un software malicioso llamado SilentCryptoMiner. La estrategia comienza con la presentación de dos quejas fraudulentas por derechos de autor contra los canales de las víctimas.
Acto seguido, los atacantes amenazan con un tercer reclamo, lo que implicaría la eliminación irreversible de sus cuentas. En un intento desesperado por conservar sus canales, los afectados caen en la trampa y terminan promoviendo enlaces maliciosos que, lejos de ser legítimos, están diseñados para propagar el SilentCryptoMiner.
Se han registrado que más de 2.000 personas fueron infectadas tras descargar esta herramienta falsa, aunque se estima que el impacto real es mucho mayor. Un caso citado en el informe de la empresa de ciberseguridad, habla sobre un YouTuber con 60.000 suscriptores que, sin saberlo, distribuyó SilentCryptoMiner.
Inicialmente, publicó un video con un enlace a una supuesta herramienta, pero al descubrir la trampa, la eliminó y le advirtió a sus seguidores que no bajaran nada. Sin embargo, los hackers lo amenazaron con represalias si no volvía a compartir el contenido malicioso.
Kaspersky advierte que este tipo de tácticas podrían expandirse a otras plataformas como Telegram, donde los influencers interactúan con sus comunidades de forma mucho más directa.
Atentos a este problema, la plataforma de blockchain Arkham implementó una función para rastrear los monederos de influencers con más de 100.000 seguidores, para comprobar si realmente respaldan los proyectos que promocionan o si se trata de simples campañas pagadas.
Como opera el troyano
Como detectar el engaño. ShutterstockEl SilentCryptoMiner se aprovecha del interés de los usuarios por herramientas para eludir restricciones en internet. Además, se ha detectado un incremento en el uso de la tecnología legítima de Windows, Packet Divert, para este tipo de propósitos maliciosos.
Las detecciones de programas similares pasaron de 280.000 en agosto a casi 500.000 en enero, acumulando más de 2.4 millones en un lapso de seis meses. Lo más inquietante es el método de distribución del malware. Los atacantes manipulan herramientas legítimas originalmente publicadas en plataformas como GitHub, modificándolas para incluir el software malicioso.
Estas versiones alteradas conservan la funcionalidad original para evitar sospechas, pero ocultan la presencia de SilentCryptoMiner. Este malware utiliza los recursos del dispositivo infectado para minar criptomonedas, generando un consumo energético considerable y ralentizando el rendimiento del equipo, todo sin que la víctima sea consciente de ello.
“Aunque inicialmente se enfocaba en usuarios de habla rusa, es evidente que estas estrategias pueden adaptarse fácilmente a otras regiones conforme la fragmentación de internet sigue en aumento. Los atacantes convierten a creadores confiables en cómplices involuntarios, lo cual es un enfoque particularmente efectivo donde exista demanda de herramientas para sortear restricciones en línea”, advierte Fabio Assolini, director del equipo de Investigación y Análisis para América Latina en Kaspersky.
Las soluciones de seguridad juegan un rol crucial al identificar y eliminar los componentes maliciosos. Sin embargo, los atacantes anticipan esta defensa e incitan a los usuarios a desactivar sus sistemas de protección con mensajes engañosos como: «Archivo no encontrado, desactiva todos los antivirus y vuelve a descargar el archivo, ¡esto te ayudará!».
Estas instrucciones, al ser seguidas por las víctimas, generan una vulnerabilidad aún mayor, facilitando el control completo del dispositivo por parte del malware.
