Desactivaron el antivirus por una "pirata" y entregaron sus contraseñas — los amantes de lo gratis, en la mira de un nuevo fraude sigiloso.
Expertos revelan cómo vídeos comunes de YouTube se convierten en puerta de entrada para el robo de contraseñas y datos mediante un malware sofisticado.
Los especialistas de Check Point revelaron una nueva campaña de la llamada YouTube Ghost Network — una red de cuentas de YouTube comprometidas que se utilizan para distribuir software malicioso bajo la apariencia de trucos de juegos y software pirateado. En el centro está un inusual cargador en Node.js y un método hasta ahora no descrito para inyectar código malicioso en Windows, que permite disfrazarlo como bibliotecas legítimas del sistema.
El esquema de infección parece familiar: los atacantes toman el control de cuentas de YouTube y publican vídeos con publicidad de trucos y "cracks". En la descripción del vídeo se ofrece a los espectadores descargar un archivo comprimido con el "programa", se indica la contraseña y se recomienda encarecidamente desactivar Windows Defender. Según los investigadores, hallaron más de cien de esos vídeos con una audiencia total de alrededor de 220 000 reproducciones. La campaña comenzó en diciembre de 2024 y continuó durante más de nueve meses, hasta que parte de los vídeos fue eliminada tras una denuncia a YouTube. No obstante, los atacantes siguen subiendo nuevos vídeos desde otras cuentas comprometidas.
Para entregar la carga principal se usa un cargador personalizado llamado GachiLoader. Está escrito en JavaScript y empaquetado en un ejecutable con el proyecto nexe, que incrusta el motor Node.js. Como resultado, la víctima recibe un archivo voluminoso de hasta 90 MB, lo que no despierta sospechas, ya que parece un instalador común. El código está muy ofuscado y contiene numerosas comprobaciones destinadas a detectar sandboxes y máquinas virtuales: analiza la cantidad de memoria, el número de núcleos del procesador, el nombre del usuario y del equipo, la lista de procesos en ejecución e incluso los modelos de discos y de tarjetas gráficas a través de WMI.
Si el cargador decide que se está ejecutando en un entorno de investigación, simplemente "se queda colgado", enviando de forma indefinida solicitudes HTTP a sitios legítimos como LinkedIn o Twitter. En un sistema real, GachiLoader intenta obtener privilegios elevados mediante la ventana estándar de UAC, lo que suele funcionar porque el usuario piensa que está ejecutando la instalación de un programa. Tras esto, el malware desactiva la protección de Windows, añadiendo exclusiones para directorios clave y extensiones de archivo.
El desarrollo posterior de la infección depende de la variante del cargador. En un caso, se conecta con un servidor de mando, transmite información del sistema y recibe un enlace a la siguiente etapa: un ejecutable con el infostealer Rhadamanthys, camuflado como programas populares como KeePass o Google Drive. En otra variante, GachiLoader vuelca en disco un módulo adicional kidkadi.node, dentro del cual ya está incrustado el código malicioso final.
Precisamente ese módulo resultó el más interesante para los investigadores. Implementa un nuevo método de inyección de archivos PE que los autores llamaron Vectored Overloading. La técnica se basa en el abuso del mecanismo Vectored Exception Handling en Windows. En resumen, el cargador crea en memoria una imagen del ejecutable malicioso "vinculada" a una DLL legítima y luego, mediante puntos de interrupción de hardware y la interceptación de excepciones, sustituye el funcionamiento de funciones del sistema. Como resultado, Windows cree que está cargando una biblioteca habitual, por ejemplo amsi.dll, pero en realidad ejecuta código malicioso desde la memoria. Este enfoque dificulta la detección y traspasa parcialmente el trabajo de inicialización al propio cargador del sistema Windows.
Según los autores del informe, esta campaña muestra de manera clara cómo los atacantes usan cada vez más plataformas no convencionales como Node.js y profundizan en los detalles de los mecanismos internos de Windows para evadir las protecciones. A los usuarios se les recuerda una vez más: las ofertas de descargar "trucos" gratuitos, entrenadores y programas pirateados siguen siendo uno de los métodos más fiables para infectar un equipo, y la confianza en plataformas populares como YouTube se usa activamente con fines delictivos.