Se advierte a los usuarios de YouTube sobre los videos que promocionan furtivamente un troyano que roba contraseñas
En abril, investigadores de seguridad de Fortinet hablaron sobre una campaña en curso que estaba difundiendo un malware que roba información llamado Predator the Thief. La campaña en cuestión había estado activa desde al menos julio de 2018, y estaba dirigida a usuarios de habla rusa. Los operadores de malware habían comprado Predator the Thief de su autor en un foro de piratería y lo distribuían con la ayuda de archivos ejecutables cuidadosamente diseñados adjuntos a correos electrónicos y haciéndose pasar por documentos de Word.
Es difícil decir si esta pandilla de ciberdelincuentes en particular todavía se está extendiendo a Predator the Thief. Lo que sí sabemos, sin embargo, es que actualmente hay otra campaña. Se dirige a una gama mucho más amplia de usuarios y utiliza un vector de infección relativamente poco convencional.
Table of Contents
Predator the Thief ataca a los entusiastas de bitcoin que quieren ganar dinero rápido
El esquema es tan simple como inteligente. Todo lo que los delincuentes deben hacer es atraer a los usuarios ingenuos a un video de YouTube y luego esperar que los espectadores se sientan demasiado tentados por el esquema de dinero por nada como para darse cuenta de que algo no está del todo bien.
A pesar de que se ha hablado activamente de toda la campaña durante un par de días, el video en cuestión aún está disponible y accesible para todos. Habiéndolo visto, definitivamente podemos ver por qué algunos usuarios caerían en él. No es un simple anuncio. Es un video instructivo completo de cuatro minutos de duración que supuestamente muestra cómo funciona el esquema.
Aparentemente, simplemente descarga e instala una herramienta y luego ingresa la dirección de la billetera que deseas drenar junto con alguna otra información. El programa hace su magia, y unas horas más tarde, tiene una versión encriptada de la clave privada más importante. Descifrarlo lleva un poco más de tiempo, pero al final, el video sugiere que podrás escaparte con los bitcoins de otra persona casi sin esfuerzo.
¿Y sabes cuál es la mejor parte? Hay un enlace a la herramienta de recuperación de clave privada en la descripción del video.
De hecho, hay tres enlaces que conducen al mismo archivo alojado en tres plataformas diferentes: Yandex Disk, Google Drive y Mega. En un intento forzado de tranquilizar a los usuarios sospechosos, el autor del video dice que debido a que los enlaces conducen a servicios legítimos de alojamiento en la nube, el archivo no puede infectarse con malware. Dado que lees esto, probablemente no te sorprenderá saber que lo es.
Cómo funciona Predator the Thief
El esquema fue descubierto por primera vez por un investigador de seguridad independiente que utiliza el identificador de Twitter @0xFrost, y Bleeping Computer luego analizó la operación de malware.
Los usuarios que caen en la estafa descargan un archivo ZIP llamado Crypto World.zip que contiene un ejecutable de aspecto inocuo llamado setup.exe. Este es el troyano en sí mismo, y cuando los expertos lo miraron, tenía una tasa de detección muy baja en Virus Total, lo que demuestra que los autores de malware han agregado algunas características nuevas a su creación para hacerlo más sigiloso.. setup.exe extrae y suelta otro ejecutable que se comunica con el servidor de Comando y Control (C&C) y se encarga de la operación principal de robo de información.
Fuera de la caja, el malware está diseñado para robar datos de inicio de sesión y otros datos de navegadores, aplicaciones de juegos en línea, FTP, VPN y clientes de mensajería instantánea y servicios de autenticación de dos factores. También puede usar la cámara web del dispositivo para tomar fotos y grabar videos, raspar el portapapeles e incluso robar archivos específicos. Los módulos adicionales descargados de C&C pueden ampliar aún más sus capacidades.
Desafortunadamente, nadie sabe cuántas personas Predator the Thief ya ha golpeado y qué tipo de información ha sido robada. Sin embargo, dado que el video que inicia toda la cadena de infección aún está en vivo, aconsejaríamos a los fanáticos de las criptomonedas que sean especialmente cuidadosos. Esto, eso sí, es algo que ya deberían saber.
Tenga cuidado con las estafas relacionadas con la criptomoneda
Este no es el primer esquema para hacerse rico rápidamente relacionado con Bitcoin, y con toda probabilidad, no será el último. Es una pena que Google esté tardando tanto en eliminar el video de YouTube, pero la verdad es que, después de que se desconecte, los delincuentes encontrarán otras formas de venderle algo que parece demasiado bueno para ser verdad y probablemente lo sea. El simple hecho del asunto es que si te gustan las criptomonedas, debes estar constantemente atento a las personas que intentan estafarte con tu dinero y/o datos.
