Proofpoint ha advertido a los usuarios de computadoras domésticas que no caigan en una nueva campaña diseñada para engañarlos para que hagan clic en enlaces maliciosos en las descripciones de los videos de YouTube.
El proveedor de seguridad detectó malware de robo de información, incluidos Vidar, StealC y Lumma Stealer, distribuido a través de la plataforma. Estaba disfrazado de software pirateado y cracks de videojuegos y se entregaba junto con contenido que parecía legítimo.
“Los videos pretenden mostrarle al usuario final cómo hacer cosas como descargar software o actualizar videojuegos de forma gratuita, pero el enlace en las descripciones del video conduce a malware”, explicó Proofpoint.
“Muchas de las cuentas que alojan vídeos maliciosos parecen estar comprometidas o adquiridas de otro modo de usuarios legítimos, pero los investigadores también han observado cuentas probablemente creadas y controladas por actores que están activas sólo durante unas pocas horas, creadas exclusivamente para distribuir malware”.
El proveedor notificó a YouTube sobre más de dos docenas de cuentas y vídeos diseñados para distribuir malware de esta manera, que el gigante de la plataforma de vídeos eliminó posteriormente.
Muchos de los juegos utilizados como señuelos fueron elegidos deliberadamente porque son populares entre los niños, dijo Proofpoint, lo que indica que los actores de amenazas están tratando de engañar a aquellos que tienen menos probabilidades de seguir las mejores prácticas de seguridad en línea.
Es posible que también hayan utilizado robots automatizados para inflar el número de vistas de estos vídeos, haciéndolos parecer más legítimos.
Los enlaces de MediaFire y Discord se usaban comúnmente para conectar a las víctimas con el malware de robo de información, agregó Proofpoint.
La campaña presenta “múltiples grupos de actividades distintos” y Proofpoint no pudo rastrear la actividad hasta un único grupo de amenazas específico.
“Sin embargo, las técnicas utilizadas son similares, incluido el uso de descripciones de video para alojar URL que conducen a cargas útiles maliciosas y brindan instrucciones sobre cómo deshabilitar el antivirus, y el uso de tamaños de archivos similares con hinchazón para intentar evitar las detecciones”, concluyó.