Los analistas de Kaspersky han detectado una colección de programas maliciosos distribuidos en forma de un único archivo de instalación, dirigido a los gamers en YouTube. Su principal carga útil es el extendido RedLine stealer, uno de los troyanos más utilizados para robar contraseñas y credenciales de los navegadores.
Como señalan los expertos de Kaspersky en el reciente resumen de las ciberamenazas relacionadas con el gaming, el malware tipo stealer se distribuye a menudo bajo la apariencia de hacks, trucos y cracks de juegos. Esta vez, los analistas descubrieron otro tipo de actividad maliciosa vinculada al gaming: los ciberatacantes colocaron paquetes corruptos en los canales de YouTube de las víctimas bajo la apariencia de contenido relacionado con los juegos junto con un enlace a un archivo RAR autoextraíble en la descripción del vídeo. El archivo contiene varios archivos maliciosos, entre los que se encuentra el famoso RedLine stealer.
El ladrón puede extraer nombres de usuario, contraseñas, cookies, datos de tarjetas bancarias y datos de autocompletado de los navegadores basados en Chromium y Gecko, datos de criptocarteras, mensajeros instantáneos y clientes FTP/SSH/VPN, así como archivos con extensiones particulares de los dispositivos. Además, RedLine puede descargar y ejecutar programas de terceros, ejecutar comandos en cmd.exe y abrir enlaces en el navegador por defecto. Este virus se propaga de varias maneras, incluso a través de correos electrónicos maliciosos de spam y cargadores de terceros.
Además del propio payload RedLine, el bundle descubierto destaca por su capacidad de autopropagación. Varios archivos, en el bundle de la descripción son responsables de ello. Reciben vídeos y los publican en los canales de YouTube de los usuarios infectados junto con los enlaces a un archivo protegido por contraseña. Los vídeos anuncian trucos y cracks y proporcionan instrucciones para hackear juegos y software populares.
Una vez que las propias víctimas descargan el paquete original, el archivo RAR se autoextrae. Contiene una serie de archivos maliciosos, utilidades de limpieza y un script para ejecutar automáticamente el contenido desempaquetado.
Para protegerse del malware oculto en los paquetes de código abierto, Kaspersky recomienda tomar las siguientes medidas:
– Los repositorios de código abierto permiten a cualquiera publicar sus propios paquetes, y no todos son completamente seguros. Por ejemplo, los atacantes pueden suplantar paquetes populares de código abierto cambiando una o dos letras en el nombre para engañar al usuario y hacerle creer que está descargando el paquete original. Por lo tanto, se recomienda estar en guardia y no tratar estos paquetes como de confianza.
– En general, los entornos de desarrollo o construcción son objetivos idóneos para los hackers que intentan organizar ataques a la cadena de suministro. Eso significa que tales entornos requieren urgentemente una protección sólida antimalware como Kaspersky Hybrid Cloud Security.
– Para conocer las nuevas campañas maliciosas que se propagan a través de código abierto, Kaspersky recomienda suscribirse a los feeds e informes de inteligencia de amenazas, como los que ofrece Threat Intelligence Portal.