Otro malware dirigido a dispositivos de Windows. Esta vez, el malware se propaga desde YouTube.
Los investigadores de seguridad de la información de el proveedor ruso de antivirus Dr. Web descubrieron una peligrosa campaña de malware que es difundida por ciberdelincuentes de YouTube.
Etiquetado como Trojan.PWS.Stealer.23012 por los investigadores, el malware está escrito en lenguaje de programación Python y apunta a dispositivos basados en Microsoft Windows, roba credenciales de inicio de sesión para correos electrónicos y cuentas de redes sociales.
En una declaración de Dr. Web, los ciberdelincuentes están publicando enlaces maliciosos en las secciones de comentarios y descripción de videos de YouTube, especialmente aquellos que están basados en hacks de juegos y trampas que usan aplicaciones especiales.
Los ciberdelincuentes atraen a los usuarios a hacer clic en el enlace que supuestamente les permitiría acceder a claves de juegos y otras herramienntas útiles. Pero, en realidad, estos enlaces llevan a los usuarios a los servidores Yandex Disk, un servicio en la nube ruso ofrecido por Yandex, que permite a los usuarios almacenar archivos en servidores “en la nube” y compartirlos con otros en línea.
Allí, la víctima puede ver varios videos que contienen comentarios de los usuarios que indican que el archivo que está a punto de descargar es limpio y legítimo. Sin embargo, los analistas de seguridad de la información notaron que todos los comentarios sobre esos videos son falsos y publicados por ciberdelincuentes utilizando perfiles falsos.
Si se engaña a la víctima para que haga clic en el enlace, se descarga un archivo RAR que se desempaqueta y que contiene Trojan.PWS.Stealer.23012. Al instalar el archivo, infecta la computadora con Windows y roba las cookies de los navegadores web, incluidos Chrome, Opera, Vivaldi y otros.
El malware roba credenciales de inicio de sesión guardadas en el navegador web de la víctima y toma capturas de pantalla de la actividad del usuario en su dispositivo. Además, copia archivos desde el escritorio de Windows. En este caso, las extensiones de archivo específicas incluyen “.txt”, “.pdf”, “.jpg”, “.png”, “.xls”, “.doc”, “.docx”, “.sqlite”, “. db “,” .sqlite3 “,” .bak “,” .sql “y” .xml “.
Los investigadores de seguridad de la información dijeron que después de recopilar los datos, el malware los almacena en la carpeta del dispositivo “C: / PG148892HQ8” en la unidad C en la carpeta Spam.zip y los envía a los servidores de comando y control (C&C) creados por los ciberdelincuentes junto con la ubicación de la víctima.
Los investigadores también han identificado una versión modificada de este malware denominado Trojan.PWS.Stealer.23198. Por lo tanto, se recomienda a los jugadores y usuarios de YouTube que eviten hacer clic en los enlaces que dejan los usuarios en la sección de comentarios de YouTube o en cualquier otro sitio hasta que el administrador / moderador del sitio los verifique.
Esta no es la primera vez que YouTube se usa con fines maliciosos, dicen los profesionales de la seguridad de la información. En enero de este año, los piratas informáticos usaron YouTube para infectar las computadoras de los usuarios con malware criptográfico que usaba la potencia de cómputo de sus dispositivos para minar la criptomoneda Monero. Además, los MODS de juegos y hacks no son nada nuevo para la infección de malware. Ha habido varios incidentes donde se descubrió que los hackers estaban difundiendo MODS infectados en Internet.