Investigadores de Kaspersky han descubierto una sofisticada campaña maliciosa que está distribuyendo el cryptominer SilentCryptoMiner mediante una compleja operación de chantaje a creadores de contenido en YouTube. Los atacantes están específicamente dirigiendo sus esfuerzos hacia usuarios rusos, camuflando el malware como herramientas legítimas para evadir bloqueos DPI.
Alcance y metodología del ataque
La campaña ha afectado a más de 2.000 usuarios confirmados, aunque se estima que el número real de víctimas podría ser significativamente mayor. Los análisis técnicos revelan que el malware está diseñado para activarse exclusivamente desde direcciones IP rusas, lo que demuestra la naturaleza específica y localizada del ataque.
Estrategia de propagación mediante extorsión
Los ciberdelincuentes han implementado una táctica de extorsión sofisticada, enviando falsas reclamaciones de derechos de autor a creadores de YouTube. Bajo amenaza de cierre de sus canales, los YouTubers son coaccionados para compartir enlaces a archivos infectados. Un caso documentado muestra cómo un canal con 60.000 suscriptores generó más de 400.000 visualizaciones en contenido que contenía enlaces maliciosos.
Características técnicas avanzadas
SilentCryptoMiner destaca por su avanzada arquitectura técnica que incluye:
- Implementación de process hollowing para ocultarse en procesos del sistema
- Sistema de detección y pausa automática durante el uso de aplicaciones específicas
- Panel de control remoto web para gestión del malware
- Capacidad de minería multidivisa: ETH, ETC, XMR y RTM
Técnicas de ingeniería social
El malware emplea tácticas de ingeniería social avanzadas, incluyendo mensajes persuasivos que intentan convencer a los usuarios de desactivar su protección antivirus. Los atacantes utilizan mensajes engañosos como: «Archivo no encontrado, desactive todos los antivirus y descargue nuevamente el archivo», buscando comprometer la seguridad del sistema.
La comunidad de ciberseguridad recomienda mantener activas las soluciones antivirus, verificar la legitimidad de las fuentes de descarga y ejercer precaución adicional al utilizar herramientas de evasión de bloqueos. Esta campaña podría sentar un precedente para futuras operaciones maliciosas que utilicen tácticas similares de distribución mediante influencers digitales bajo coacción.