Se solicita a los visitantes que hagan clic en un enlace malicioso ubicado en la descripción del vídeo
Los actores de amenazas están recurriendo a vídeos de YouTube que presentan contenido relacionado con software crackeado para atraer a los usuarios a descargar un malware ladrón de información llamado Lumma.
"Estos videos de YouTube generalmente presentan contenido relacionado con aplicaciones crackeadas, presentando a los usuarios guías de instalación similares e incorporando URL maliciosas a menudo acortadas usando servicios como TinyURL y Cuttly", dijo Cara Lin, investigadora de Fortinet FortiGuard Labs, en un análisis del lunes.
Esta no es la primera vez que los vídeos de software pirateados en YouTube se convierten en un eficaz cebo para el malware ladrón. Anteriormente se observaron cadenas de ataques similares que entregaban malware de ladrones, clippers y criptomineros.
Al hacerlo, los actores de amenazas pueden aprovechar las máquinas comprometidas no sólo para robar información y criptomonedas, sino también abusar de los recursos para la minería ilícita.
En la última secuencia de ataque documentada por Fortinet, a los usuarios que buscan versiones crackeadas de herramientas de edición de vídeo legítimas como Vegas Pro en YouTube se les solicita que hagan clic en un enlace ubicado en la descripción del vídeo, lo que lleva a la descarga de un instalador falso alojado en MediaFire.
El instalador ZIP, una vez descomprimido, presenta un acceso directo de Windows (LNK) que se hace pasar por un archivo de instalación que descarga un cargador .NET desde un repositorio de GitHub, que, a su vez, carga la carga útil del ladrón, no sin antes realizar una serie de comprobaciones anti-máquina virtual y anti-depuración.
Lumma Stealer, escrito en C y puesto a la venta en foros clandestinos desde finales de 2022, es capaz de recopilar y filtrar datos confidenciales a un servidor controlado por actores maliciosos.
El desarrollo se produce cuando Bitdefender advirtió sobre ataques de secuestro de transmisiones en YouTube en los que los ciberdelincuentes se apoderan de cuentas de alto perfil mediante ataques de phishing que implementan el malware RedLine Stealer para desviar sus credenciales y cookies de sesión y, en última instancia, promueven varias estafas de criptomonedas.
También sigue al descubrimiento de una campaña AsyncRAT de 11 meses de antigüedad que emplea señuelos de phishing para descargar un archivo JavaScript ofuscado que luego se utiliza para eliminar el troyano de acceso remoto.
"Las víctimas y sus empresas son cuidadosamente seleccionadas para ampliar el impacto de la campaña", dijo Fernando Martínez, investigador de AT&T Alien Labs. "Algunos de los objetivos identificados gestionan infraestructura clave en Estados Unidos".
