En un hallazgo alarmante relacionado con la seguridad en línea, expertos en ciberseguridad han desentrañado una amplia campaña de difusión de software malicioso que ha sido nombrada la Red Fantasma de YouTube. Esta operación ha empleado cuentas robadas para lanzar miles de videos que aparentan ofrecer tutoriales y demostraciones de software, pero que en realidad están diseñados para esparcir herramientas de robo de información, como el conocido Lumma.

La creciente sofisticación de los ciberdelincuentes se manifiesta en su capacidad para utilizar plataformas digitales y redes sociales, así como las interacciones que estas facilitan, para extender su malware de forma masiva. YouTube, una de las plataformas más confiables para los internautas, ha sido subvertido por estas tácticas engañosas.

Investigadores de Check Point han liderado la identificación de esta Red Fantasma de YouTube, un plan orquestado para robar datos sensibles de los usuarios. En el corazón de esta campaña, los delincuentes emplearon cuentas de YouTube comprometidas para diseminar contenido relacionado con software pirateado y hacks de videojuegos, diseñando un atractivo para captar a sus víctimas potenciales.

A través de este esquema, los cibercriminales incitaban a los usuarios a descargar archivos supuestamente protegidos, prometiendo el acceso gratuito a programas pagos como Adobe Photoshop o Microsoft Office, así como trucos para populares videojuegos como Roblox. Sin embargo, estos archivos eran en realidad vectores de malware, obligando a los usuarios a cargar software desde sitios como Dropbox o Google Drive, incluso pidiéndoles que desactivaran temporalmente su protección mediante Windows Defender.

Los investigadores señalaron que se estaban distribuyendo programas de robo de información como Rhadamanthys y Lumma. Una vez instalados, estos programas eran capaces de recoger credenciales de acceso y otros datos sensibles de diversas plataformas, así como de billeteras de criptomonedas y sistemas de control remoto.

A lo largo de un año de investigación, se registraron más de 3.000 videos nocivos, los cuales fueron denunciados a Google y eliminados, lo que marcó la interrupción de una de las operaciones de malware más significativas observadas en el sitio de videos. Un canal en particular, que contaba con 129.000 suscriptores, había sido usado para publicar una versión pirata de Adobe Photoshop, logrando casi 300.000 visualizaciones y más de 1.000 me gusta.

Además, otro canal comprometido se dirigía a entusiastas de las criptomonedas, redirigiendo a los usuarios hacia páginas de phishing en Google Sites, donde se alojaba el software Rhadamanthys Stealer. Los investigadores notaron que los cibercriminales actualizaban regularmente tanto los enlaces como las cargas útiles de malware, asegurando que las cadenas de infección perduraran a pesar de las eliminaciones implementadas.

Check Point advirtió que la estrategia detrás de estos ataques se distancia del phishing tradicional al parecer auténtica. La manipulación de la confianza en plataformas reconocidas representa un nuevo nivel de ingeniería social, donde la apariencia de legitimidad se convierte en un poderoso instrumento para los atacantes.

Como recomendación para los usuarios, los expertos advierten sobre la importancia de no descargar software de fuentes no oficiales o piratas, y enfatizan que nunca se debe desactivar la protección antivirus, incluso si un instalador lo sugiere. Asimismo, sugieren que se trate con escepticismo a los videos que ofrecen software gratuito, especialmente aquellos que presentan una gran cantidad de "me gusta" o recomendaciones, ya que los atacantes utilizan la credibilidad social como una herramienta para propagar el malware.