El uso de plataformas de redes sociales para difundir malware no es nuevo, pero una campaña maliciosa monitoreada por la compañía de seguridad cibernética de Bitdefender llamó la atención para explorar los anuncios de YouTube y Google.
El ataque, que comenzó en 2024 en Facebook, prometió acceso gratuito a TradingView Premium, plataforma de cuadros de inversores, evolucionó y comenzó a usar canales de secuestro y anuncios patrocinados para distribuir malware capaz de robar credenciales y datos confidenciales de los usuarios.
Cómo funcionó el golpe
Según Bitdefender, los delincuentes tomaron el control de la cuenta de una agencia de diseño noruega en los anuncios de Google y un canal de YouTube. Este canal ha sido reformulado para aprobar el perfil oficial de TradingView, copiar logotipos, pancartas e incluso listas de reproducción asociadas con el canal legítimo.
Los videos no listados, que se muestran solo a través de anuncios pagados, se usaron para escapar de las quejas y moderación. En uno de estos contenidos, titulado «Free TradingView Premium – Método secreto que no quieren que sepas», la descripción incluía un enlace descargable para un ejecutable malicioso. Solo este video acumuló 182,000 vistas en unos días.
¿Qué hizo malware?
El análisis reveló un descargador de más de 700 MB, diseñado para escapar de las herramientas de seguridad automática. El código malicioso incluía funciones anti-sandbox, infección de varias etapas y comunicación WebSocket para descargar cargas adicionales.
El malware, detectado como troyano.agent.gosl, trajo recursos de espía avanzados, que incluyen:
- Robo de cookies y contraseñas;
- Keylogging (captura de teclado) y captura de pantalla;
- Intercepción de tráfico de red;
- Robo de billeteras de criptomonedas;
- Persistencia en el sistema para un acceso remoto prolongado.
Además, los atacantes incluso utilizaron herramientas de seguimiento legítimas, como Facebook Pixel y Google Ads, para monitorear y atacar a las víctimas.
Bitdefender identificó más de 500 dominios y subdominios de campaña, así como muestras dirigidas a MacOS y Android. Se han descubierto varios canales y páginas secuestradas, miles de anuncios y cuentas de Google comprometidas utilizadas como punto de partida.
Cómo protegerse
Los expertos recomiendan que los usuarios eviten descargar software de enlaces de terceros y desconfían de las ofertas de programas premium gratuitos. Otras medidas importantes incluyen:
- Confirmar identificadores y métricas de canales antes de confiar en las promociones;
- Evite videos no listados promovidos como oficiales;
- Activar la autenticación multifactorial en todas las cuentas;
- Informe anuncios sospechosos en los anuncios de YouTube y Google.
18.70 €Amazonas
35.57 €-47%
