Los ciberdelincuentes están atacando a creadores de contenido populares de YouTube con falsas reclamaciones de derechos de autor, obligándolos a distribuir malware de minería de criptomonedas a miles de espectadores.

Analistas del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky han descubierto una sofisticada campaña maliciosa en la que los atacantes extorsionan a creadores de contenido de YouTube para que distribuyan software malicioso. Los atacantes presentan dos denuncias fraudulentas por derechos de autor contra los youtubers y luego los amenazan con una tercera reclamación, la cual provocaría la eliminación de sus canales. En un intento desesperado por evitarlo, los afectados, sin sospechar el engaño, terminan promocionando enlaces maliciosos bajo la falsa creencia de que así podrán salvar sus cuentas.

La telemetría de Kaspersky confirmó que más de 2.000 usuarios finales fueron infectados tras descargar la herramienta, aunque la cifra real de afectados podría ser mucho mayor. Un canal comprometido con 60.000 suscriptores publicó varios videos con enlaces maliciosos, que acumularon más de 400.000 visualizaciones. El archivo infectado, alojado en un sitio web fraudulento, registró más de 40.000 descargas.

El malware, identificado como SilentCryptoMiner, se aprovecha de la creciente demanda de herramientas para eludir las restricciones de Internet. La telemetría de Kaspersky muestra un aumento significativo en el uso de dispositivos legítimos de Windows Packet Divert, una tecnología comúnmente utilizada en las utilidades de desvío, con detecciones que aumentaron de aproximadamente 280.000 en agosto a casi 500.000 en enero, sumando un total de más de 2,4 millones de detecciones en seis meses.

Los atacantes apuntaron específicamente a usuarios que buscan estas herramientas de evasión, modificando un software legítimo de circunvención de Inspección Profunda de Paquetes (DPI) publicado originalmente en GitHub. La versión maliciosa conserva la funcionalidad original para evitar sospechas, pero instala en secreto SilentCryptoMiner, que explota los recursos informáticos para minar criptomonedas sin el conocimiento ni el consentimiento del usuario. Esto provoca una degradación significativa del rendimiento del dispositivo y un aumento en el consumo de electricidad.

Los atacantes dirigieron su ataque a usuarios interesados en herramientas de evasión, manipulando un software legítimo diseñado para eludir el control detallado de paquetes (DPI, por sus siglas en inglés), originalmente publicado en GitHub. La versión maliciosa mantiene intacta su funcionalidad original para no despertar sospechas, pero en segundo plano instala SilentCryptoMiner, un programa que se aprovecha los recursos del sistema para minar criptomonedas sin el conocimiento ni el consentimiento del usuario. Como consecuencia, el rendimiento del dispositivo se ve gravemente afectado y el consumo de energía aumenta significativamente.

“Esta campaña demuestra una evolución preocupante en las tácticas de distribución de malware. Si bien inicialmente se dirigió a usuarios de habla rusa, este enfoque podría extenderse fácilmente a otras regiones a medida que la fragmentación de Internet aumenta a nivel global. El esquema aprovecha estratégicamente la confianza en los creadores de contenido, convirtiéndolos en cómplices involuntarios, lo que puede funcionar en cualquier mercado donde los usuarios busquen herramientas para eludir restricciones online”, apunta Leonid Bezvershenko, analista de seguridad en GReAT de Kaspersky

Cuando las soluciones de seguridad detectan y eliminan los componentes maliciosos, el instalador modificado anima a los usuarios a desactivar su antivirus, mostrando mensajes como: “Archivo no encontrado. Desactiva todos los antivirus y vuelve a descargar el archivo, ¡te ayudará!”. Esto compromete aún más la seguridad del sistema.

El equipo GReAT de Kaspersky identificó varios indicadores de compromiso, incluyendo conexiones a dominios como swapme[.]fun y canvas[.]pet, junto con hashes específicos de archivos. Los atacantes han demostrado una gran persistencia, creando rápidamente nuevos canales de distribución cada vez que los anteriores son bloqueados.

Para evitar ser víctima de este tipo de amenazas, los expertos de Kaspersky recomiendan:

• Nunca desactives tu su solución de seguridad cuando se lo soliciten los archivos de la instalación, ya que se trata de una táctica habitual para facilitar el despliegue de malware.
• Presta atención a comportamientos inusuales en tu dispositivo, como sobrecalentamiento, consumo excesivo de batería o bajo rendimiento, que pueden indicar la presencia de un minero de criptomonedas.
• Utiliza una solución de seguridad fiable, como Kaspersky Premium, que puede detectar malware de minería incluso cuando intenta ocultar su actividad.
• Mantén tu sistema operativo y software siempre actualizados, ya que muchas vulnerabilidades se pueden solucionar con versiones actualizadas.
• Verifica la fiabilidad de los desarrolladores antes de instalar nuevas aplicaciones, consultando reseñas independientes e investigando su historial.