La utilización de personalidades de todos los ámbitos suele ser un recurso habitual utilizado por los delincuentes para atraer a posibles víctimas. Esto es algo que hemos visto desde hace años, por ejemplo, para atraer a los usuarios a fraudulentas inversiones en criptomonedas, pero recientemente varios investigadores han descubierto una nueva e ingeniosa campaña para propagar malware utilizando el tirón de tenistas famosos y aprovechando la reciente celebración del torneo de Wimbledon.
Uso de Youtube
Fue el pasado sábado 9 de julio cuando el investigador Daniel López informó a través de su cuenta de Twitter el descubrimiento de varios vídeos subidos a YouTube, en los que se podían ver entrevistas realizadas durante la celebración reciente del torneo de Wimbledon a algunos de los tenistas más reconocidos del circuito internacional como Rafa Nadal. En estos vídeos se podía observar un supuesto chat en directo en el que los delincuentes se hacían pasar por el tenista entrevistado y proporcionaban enlaces de descarga de supuestos vídeos o promocionaban webs relacionadas con las criptomonedas.
Sabiendo el interés que despiertan estos tenistas durante la celebración de un torneo tan prestigioso como Wimbledon, no es de extrañar que el número de usuarios que hayan visualizado estos vídeos se cuente, en algunos casos, por las decenas de miles. De todos ellos es probable que más de uno haya pulsado en los enlaces proporcionados por los delincuentes pensando que eran los propios tenistas quienes los escribían, y fueran redirigidos a las webs maliciosas.
Gracias al análisis de varios investigadores como Germán Fernández, podemos observar como algunos de estos enlaces conducían a la descarga de ficheros maliciosos alojados en varios servicios como MediaFire o en servidores controlados directamente por los atacantes.
En el caso de la supuesta descarga del vídeo, podemos ver que los delincuentes se han preocupado de hacer que el tamaño del fichero descargado y el icono utilizado sea creíble para que se trate de un fichero multimedia, aunque no se han preocupado de cambiar la extensión del archivo y un usuario con conocimientos podría llegar a sospechar de él.
En lo que respecta al malware descargado, Germán apunta a que se trata de una variante del spyware Racoon Stealer v2, especializado en el robo de credenciales, cookies de inicio de sesión y datos introducidos en formularios. El uso de un malware de este tipo concuerda con la tendencia que venimos observando desde hace tiempo, y que ha convertido a España en el objetivo número uno del malware especializado en el robo de información en los primeros meses de 2022.
En el momento de escribir estas líneas, la mayoría de enlaces ya no se encuentran activos pero no es descartable que los delincuentes lo vuelvan a intentar próximamente con una campaña similar.
Además, esta campaña se produce pocos días después de que investigadores de Kaspersky anunciaran el descubrimiento de campañas de promoción de supuestos exchanges de Bitcoin usando comentarios incrustados también en vídeos de Youtube, que hablaban de un posible fallo que podía aprovecharse para hacerse rico.
Conclusión
El uso de Youtube para propagar amenazas no es desconocido para los ciberdelincuentes y llevamos años observando cómo lo utilizan de forma ingeniosa para conseguir nuevas víctimas. Sin embargo, es perfectamente posible evitar caer en estas trampas si evitamos seguir enlaces proporcionados en los comentarios o el chat de una retransmisión en vivo y además contamos con una solución de seguridad que nos proteja de ficheros descargados y webs maliciosas.