La Red Fantasma de YouTube que propagaba malware
Check Point Research descubrió la Red Fantasma de YouTube. Una operación de distribución de malware a gran escala que utilizaba cuentas de YouTube falsas y comprometidas para distribuir programas de robo de información como Rhadamanthys y Lumma.
Más de 3.000 vídeos maliciosos se identificaron y eliminaron tras reportarse por Check Point Research. Lo que desbarató una de las mayores operaciones de malware observadas en YouTube. La operación se basaba en software pirateado y vídeos de hackeos de juegos para engañar a las víctimas. Y que descargaran archivos protegidos con contraseña que contenían malware.
Las cuentas comprometidas se utilizaban para publicar vídeos, compartir enlaces e inundar las secciones de comentarios con recomendaciones falsas. Creando así una falsa sensación de confianza. La investigación revela una tendencia creciente de ciberdelincuentes que explotan las plataformas sociales y las herramientas de interacción para distribuir malware a gran escala.
Check Point Research descubrió esta red cibernética a gran escala que se ocultaba en uno de los espacios más confiables de internet: YouTube. Lo que parecían ser tutoriales inofensivos y demostraciones de software resultaron ser una sofisticada red de distribución de malware conocida como la Red Fantasma de YouTube.
Tras una investigación de meses, Check Point Research reportó más de 3000 videos maliciosos a Google, lo que condujo a su eliminación e interrumpió un importante canal de distribución de malware. La Red Fantasma no es una colección aleatoria de publicaciones fraudulentas, sino un sistema coordinado de cuentas falsas o pirateadas, diseñadas para parecer confiables.
Cada tipo de cuenta cumple una función distinta. Las cuentas de video, suben videos tipo tutorial que incluyen enlaces para descargar archivos maliciosos. Las de publicación, difunden publicaciones de la comunidad con contraseñas y enlaces actualizados. Mientras que las de interacción, publican comentarios positivos y dan «me gusta» para que los videos maliciosos parezcan seguros.
Esta estructura modular permite que la operación escale rápidamente y sobreviva a los bloqueos de cuentas. Lo que hace que las eliminaciones sean más complejas y continuas. Los señuelos más comunes eran software gratuito o pirateado, como Adobe Photoshop, FL Studio y Microsoft Office, o hacks para juegos como Roblox. Se indicaba a las víctimas que dscargaran un archivo alojado en Dropbox, Google Drive o MediaFire. También que desactivaran Windows Defender temporalmente y extrayeran e instalaran lo que se describía como software legítimo, pero que en realidad era malware.
Una vez ejecutados, estos ladrones de información extraían credenciales, monederos de criptomonedas y datos del sistema a servidores de comando y control. Estos solían rotar cada pocos días para evadir la detección. Un canal de YouTube comprometido con 129.000 suscriptores publicó una versión pirateada de Adobe Photoshop. Esta alcanzó 291.000 visualizaciones y más de 1.000 «me gusta”. Otro canal comprometido se dirigía a usuarios de criptomonedas, redirigiéndolos a páginas de phishing de Google Sites que alojaban a Rhadamanthys Stealer.
Los actores de amenazas actualizaban periódicamente los enlaces y las cargas útiles. Lo que permitía cadenas de infección persistentes incluso después de eliminaciones parciales. Check Point Research rastreó esta actividad durante más de un año, mapeando miles de cuentas y campañas interconectadas. Gracias a la colaboración directa con Google, Check Point Research facilitó la eliminación de más de 3.000 vídeos maliciosos. Interrumpiendo uno de los métodos de distribución de malware más escalables observados en YouTube hasta la fecha, la red fantasma.
Este trabajo demuestra la importancia de la inteligencia de amenazas proactiva y la coordinación entre los investigadores de seguridad y los operadores de plataformas. Al identificar y reportar estas campañas, Check Point Research ayudó a proteger a millones de víctimas potenciales y a restaurar la confianza en una de las plataformas más utilizadas del mundo.
