En un avance alarmante para la ciberseguridad, expertos han destapado una extensa operación de malware denominada Red Fantasma de YouTube, la cual se basa en el uso de cuentas comprometidas para publicar una gran cantidad de vídeos que aparentan ser tutoriales legítimos, pero que en realidad son vectores de robo de información, como es el caso del conocido Lumma.

La tendencia de los ciberdelincuentes parece crecer, aprovechando a su favor plataformas digitales y redes sociales. Estas herramientas, diseñadas para facilitar la interacción y el acceso a información, están siendo manipuladas para esparcir malware de manera amplia, camuflándose en entornos que los usuarios consideran seguros, como YouTube.

Investigadores de la firma de seguridad Check Point han arrojado luz sobre esta preocupante práctica, al descubrir la Red Fantasma de YouTube, una red diseñada con el único fin de robar información sensible a los usuarios.

Los atacantes se valieron de cuentas falsas y robadas de YouTube para distribuir vídeos que contenían software pirata y hacks de videojuegos, utilizando este contenido engañoso como cebo para atraer a usuarios desprevenidos. En su blog, Check Point explica cómo los ciberdelincuentes intentaban atraer a víctimas para que descargaran archivos protegidos por contraseña, prometiendo instalaciones gratuitas de software de pago, como Adobe Photoshop o Microsoft Office, así como programas para hacks de videojuegos como Roblox.

Sin embargo, el verdadero contenido de estos archivos era malware que infectaba los dispositivos de los usuarios y se descargaba de plataformas como Dropbox o Google Drive. Los delincuentes también pedían a las víctimas que desactivaran temporalmente Windows Defender para permitir la instalación.

Check Point detalla que esta campaña incluía programas de robo de información como Rhadamanthys y Lumma, los cuales, al ser instalados en los sistemas afectados, extraían credenciales de acceso a diversos servicios, billeteras de criptomonedas y otros datos importantes relacionados con el control de comandos.

A lo largo de su investigación de un año, los analistas lograron identificar más de 3,000 vídeos maliciosos que, tras ser notificados a Google, fueron eliminados como parte de lo que se afirma podría ser "una de las operaciones de malware más grandes vistas en YouTube".

Por ejemplo, se descubrió un canal de YouTube con 129,000 suscriptores que comprometió su integridad al publicar una versión pirata de Adobe Photoshop, la cual logró alcanzar hasta 291,000 vistas y más de 1,000 "me gusta".

Otro canal comprometido tenía como blanco a los aficionados a las criptomonedas y redirigía a los usuarios hacia sitios phishing creados en Google Sites, que albergaban el malware Rhadamanthys Stealer.

Los investigadores enfatizaron que los ciberdelincuentes modifican regularmente los enlaces y el malware para asegurar que sus campañas de infección permanezcan efectivas, incluso después de que algunos elementos sean eliminados.

Como subrayan los expertos, estos ataques son particularmente efectivos porque imitan la autenticidad. La manipulación de la confianza en estas plataformas representa una nueva e insidiosa forma de ingeniería social, donde la apariencia de legitimidad se convierte en una herramienta para propagar el daño.

Ante esta situación, los especialistas advierten a los usuarios sobre la importancia de evitar descargas de software procedente de fuentes no oficiales o piratas y de no desactivar las defensas de antivirus, aun si un instalador lo solicita. También se recomienda tener un enfoque escéptico hacia los vídeos que ofrecen software gratuito y que tienen gran cantidad de "me gusta" o comentarios positivos. “Al aprovechar mecanismos de interacción como estas métricas sociales, los atacantes convierten la credibilidad en una peligrosa herramienta de infección”, concluyen desde Check Point.