Una elaborada campaña de phishing se dirige a creadores de YouTube, utilizando notificaciones falsas de infracción de derechos de autor para robar credenciales de Google y tomar el control de canales, que luego son usados para estafas de criptomonedas.
Una sofisticada campaña de phishing está activamente comprometida en secuestrar canales de YouTube y robar credenciales de cuentas de Google, apuntando específicamente a creadores de contenido. La operación engaña a las víctimas con notificaciones falsas de infracción de derechos de autor, diseñadas con una precisión alarmante para inducir a los usuarios a entregar sus datos de inicio de sesión. Una vez que obtienen acceso, los atacantes toman el control total de las cuentas de Google, incluyendo Gmail, Google Drive, información de pagos y crucialmente, el canal de YouTube de la víctima, el cual es rápidamente reutilizado para ejecutar estafas.
La táctica central de este esquema se basa en una página de phishing extremadamente convincente, alojada en dominios como dmca-notification[.]info. Esta plataforma imita la interfaz de YouTube y el sistema de avisos de copyright con gran fidelidad, lo que la hace difícil de distinguir de una comunicación legítima.
Según una investigación de Malwarebytes, la campaña es tan astuta que incluso extrae datos reales del canal de la víctima, como la foto de perfil, el número de suscriptores y el video más reciente, para personalizar el mensaje de "infracción". Esta personalización extrema, que incluye la generación dinámica de marcas de tiempo en videos específicos, incrementa drásticamente la credibilidad de la amenaza, presionando al creador a actuar de inmediato.
Los canales de YouTube representan un objetivo de alto valor para los ciberdelincuentes. Para muchos creadores, su canal es un negocio a tiempo completo, generando ingresos a través de publicidad, patrocinios y venta de mercancía. Todos estos activos están protegidos por una única cuenta de Google, lo que la convierte en un punto de entrada crítico.
Una vez que un atacante logra comprometer un canal, lo rebrandea en cuestión de minutos, típicamente para hacerse pasar por una compañía de criptomonedas, y explota la audiencia existente del creador para transmitir en vivo estafas. Esto no solo roba el acceso al creador original, sino que también utiliza años de trabajo y la confianza de su comunidad para defraudar a sus propios suscriptores.
La campaña opera bajo un modelo de "franquicia", donde múltiples atacantes comparten la misma infraestructura de phishing, pero ejecutan sus propias campañas personalizadas contra diferentes creadores. Se han observado indicadores de que los operadores podrían estar coordinando el tráfico a través de plataformas como Telegram, utilizando parámetros de seguimiento específicos en las URLs de phishing.
El paso final del ataque implica un sofisticado engaño conocido como "Browser-in-the-Browser", donde, al hacer clic en el botón de "Iniciar sesión con Google", se carga una ventana emergente falsa de Chrome, renderizada completamente en HTML y CSS, sobre la página de aviso de copyright. Esta ventana falsa solicita las credenciales de Google, robándolas al instante. Se ha documentado que dominios como blacklivesmattergood4[.]com han sido utilizados para alojar estas páginas de inicio de sesión falsas.
La amenaza para los creadores de contenido en plataformas digitales como YouTube es palpable. La ingeniería social sigue siendo uno de los vectores de ataque más efectivos, y campañas como esta demuestran la sofisticación que han alcanzado. Es fundamental desconfiar de cualquier aviso de copyright que exija una acción inmediata o un inicio de sesión directo a través de un enlace proporcionado. Se recomienda a los creadores que verifiquen el estado de su canal directamente a través del panel de control oficial de YouTube Studio y que siempre utilicen la autenticación de dos factores (2FA) en sus cuentas de Google para añadir una capa de seguridad crítica contra estos ataques de robo de credenciales.
FUENTE ORIGINAL
Malwarebytes↗CURADO POR
Alejandro Vargas