Los actores de amenazas han sido observados cada vez más usando videos de YouTube generados por IA para difundir una variedad de malware de robo como Raccoon, RedLine y Vidar.
“Los videos atraen a los usuarios haciéndose pasar por tutoriales sobre cómo descargar versiones pirateadas de software como Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD y otros productos que son productos con licencia disponibles solo para usuarios pagos”, dijo el investigador de CloudSEK, Pavan Karthick M.
Al igual que el panorama del ransomware, comprende a desarrolladores centrales y afiliados que se encargan de identificar posibles objetivos y llevar a cabo los ataques, el ecosistema de robadores de información también consta de actores de amenazas conocidos como “traffers” que son reclutados para difundir el malware utilizando diferentes métodos.
Uno de los canales de distribución de malware populares es YouTube, con CloudSEK presenciando un aumento de 200-300% mes a mes en videos que contienen enlaces a malware de robo en la sección de descripción.
Estos enlaces a menudo están ofuscados utilizando acortadores de URL como Bitly y Cuttly, o alternativamente alojados en MediaFire, Google Drive, Discord, GitHub y Telegra.ph de Telegram.
En varios casos, los actores de amenazas aprovechan las fugas de datos y la ingeniería social para secuestrar cuentas legítimas de YouTube y difundir malware, a menudo apuntando a cuentas populares para llegar a una audiencia grande en un corto período de tiempo.
Más ominosamente, entre cinco y 10 videos de descarga de crack se cargan en la plataforma de video cada hora, y los actores de amenazas emplean técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para hacer que los videos aparezcan en la parte superior de la lista.
También se ha observado que los actores de amenazas agregan comentarios falsos a los videos cargados para engañar y atraer a los usuarios a descargar el software pirateado.
El desarrollo se produce en medio de un aumento en las nuevas variantes de robo de información como SYS01stealer, S1deload, Stealc, Titan, ImBetter, WhiteSnake y Lumma que se ofrecen a la venta y vienen con capacidades para saquear datos confidenciales bajo la apariencia de aplicaciones y servicios populares.
Los hallazgos también siguen al descubrimiento de un kit de herramientas listo para usar llamado R3NIN Sniffer que puede permitir a los actores de amenazas desviar datos de tarjetas de pago de sitios web de comercio electrónico comprometidos.
Para mitigar los riesgos que plantea el malware ladrón, se recomienda a los usuarios que habiliten la autenticación multifactor, se abstengan de hacer clic en enlaces desconocidos y eviten descargar o usar software pirateado.
