Vídeos tutoriales de YouTube que propagan el malware Vidar y Raccoon

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una tendencia reciente detectada por los actores de amenazas incluye la creación de malware y sitios web de phishing para infecciones masivas. Pero, ¿cómo llevan a cabo esto? Estas campañas en realidad se ejecutan en YouTube, un sitio web de transmisión de video favorito de todos.

El público objetivo de estos videos son personas que buscan tutoriales paso a paso para descargar versiones descifradas de programas populares de pago. Los tutoriales en video engañan a los espectadores para que instalen malware ladrón de información (infostealer) desde el enlace que se proporciona en la descripción del video con el pretexto de ayudarlos a descifrar el software deseado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero, ¿qué es un ladrón de información (Infostealer o Stealer)?.
Es un software malicioso que busca robar datos privados de un dispositivo comprometido, incluidas contraseñas, cookies, información de autocompletado de los navegadores e información de billetera de criptomonedas.

También se han visto campañas de robo de información en el pasado donde se usaron malware de robo de Pennywise y Redline. Lo que es común en estas campañas es que el actor de amenazas aloja los archivos maliciosos en una plataforma de alojamiento de archivos gratuita y, por lo tanto, engaña con éxito al usuario para que descargue los archivos que contienen malware de un sitio web aparentemente legítimo.

En el caso del señuelo de video de YouTube, el actor de amenazas ha creado páginas de phishing que imitan sitios web legítimos que son ampliamente conocidos por brindar servicios a los usuarios para descargar varios softwares, juegos y otras herramientas.

En los ejemplos de las cuatro campañas identificadas por Cyble Research & Intelligence Labs (CRIL) en su informe, se destacan el malware ladrón de Vidar y el ladrón de RecordBreaker. Los investigadores lo han llamado una "campaña masiva de YouTube".   

Vidar stealer se observó por primera vez en diciembre de 2018 y es una variante del infostealer de Arkei. Según los informes, los actores de amenazas pueden comprar Vidar en foros en línea por $ 250 y se puede usar para robar tarjetas de crédito, nombres de usuario, contraseñas y archivos, así como para tomar capturas de pantalla del escritorio del usuario.

El malware también puede robar billeteras para criptomonedas como Bitcoin y Ethereum. Vidar también apunta a la autenticación de dos factores (2FA), una capa de seguridad adicional para las cuentas de usuario.

El ladrón RecordBreaker, también conocido como el malware Raccoon, se ha ofrecido como malware como servicio en varios foros de delitos informáticos desde principios de 2019. Sin embargo, el grupo Raccoon Stealer se disolvió en marzo de 2022 como resultado de la muerte de uno de sus principales desarrolladores en la guerra Ucrania-Rusia.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero poco después, en junio de 2022, apareció una nueva versión del Stealer Racoon y fue identificada en la naturaleza por los investigadores de Sekoia. A pesar de que inicialmente se llamó "Recordbreaker", pronto se descubrió que el malware era una versión revivida del Stealer Racoon. El desarrollador de este malware (MaaS) es muy activo en los foros clandestinos, actualiza regularmente el malware y publica sobre las nuevas funciones en el foro.

Hay una larga lista de softwares, juegos, scripts de ROBLOX, trucos y complementos dirigidos por los actores de amenazas para entregar a los Stealer y se puede encontrar en la publicación del blog de Cyble:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta