Criminales aprovechan GitHub y YouTube para vaciar criptomonedas

Los ciberdelincuentes han lanzado una sofisticada campaña de malware utilizando plataformas confiables como GitHub, SourceForge, YouTube y VirusTotal para hacer que el software malicioso parezca legítimo. Según una nueva investigación de la empresa de ciberseguridad Check Point, los principales objetivos son inversores en criptomonedas y jugadores en línea. Los atacantes atraen a sus víctimas con software que promete ganancias rápidas, pero que en realidad está diseñado para robar criptomonedas.

Carteras de criptomonedas vaciadas mediante malware oculto

Según Check Point, los criminales distribuyeron diversos programas que supuestamente ayudarían a los usuarios a comerciar con criptomonedas o predecir resultados de juegos de azar en línea. Se trataba, entre otros, de los llamados sniperbots para criptomonedas y herramientas que afirmaban poder predecir resultados de juegos de azar populares.

Sin embargo, tras la instalación, el software contenía malware diseñado específicamente para interceptar transacciones de criptomonedas. El malware utiliza una técnica conocida como clipper, que monitorea continuamente el portapapeles de una computadora en busca de direcciones de carteras.

Cuando un usuario copia una dirección de cartera para enviar criptomonedas, el malware la reemplaza sin que el usuario lo note con una dirección de los atacantes. La víctima cree estar realizando una transacción normal, mientras que las criptomonedas se envían directamente a los delincuentes.

Los investigadores descubrieron más de 15,500 direcciones de carteras utilizadas por el malware. Entre ellas había direcciones para Bitcoin (BTC), Ethereum (ETH), Monero (XMR), Dogecoin (DOGE), Cardano (ADA) y Litecoin (LTC).

Según Check Point, estas direcciones se reemplazan regularmente una vez que se ha producido un robo exitoso. Por lo tanto, para los investigadores es considerablemente más difícil rastrear los flujos de dinero en la blockchain.

GitHub y SourceForge utilizados para ganar confianza

Lo que hace que esta campaña sea especial es la forma en que los atacantes intentan generar confianza. El malware se alojó en GitHub y SourceForge, plataformas que normalmente se utilizan para proyectos de software legítimos.

Para que el software pareciera confiable, los criminales manipularon varios sistemas de reputación. Se inflaron artificialmente estrellas de GitHub, forks, evaluaciones de usuarios y cifras de descargas. También aparecieron comentarios positivos en VirusTotal en los que se afirmaba que el software era seguro.

Además, los investigadores descubrieron una red de cuentas de GitHub que se apoyaban activamente entre sí. Estas llamadas «redes fantasma» se daban estrellas a los proyectos de los demás, aparecían como colaboradores y promocionaban repositorios para dar la impresión de que se trataba de software popular.

Según Check Point, este enfoque muestra cómo los ciberdelincuentes operan de manera cada vez más profesional para engañar a posibles víctimas.

Decenas de miles de descargas y videos generados por IA en YouTube

Los investigadores observaron que la campaña logró un alcance considerable. Solo a través de GitHub se registraron más de 5,000 descargas.

Un ejemplo notable fue Aviator Predictor, un programa que afirmaba poder predecir el resultado del popular juego en línea Aviator. La versión para macOS de este software se descargó más de 1,250 veces.

Las cifras en SourceForge también fueron destacadas. Allí se registraron más de 44,000 descargas. Una gran parte de ellas parecían provenir de Pakistán e India. Curiosamente, más de 37,000 descargas provinieron de dispositivos Android, aunque el software solo estaba disponible para Windows y macOS.

Según Check Point, esto podría indicar el uso de una «granja de dispositivos». En estas, se utilizan grandes cantidades de dispositivos automatizados para inflar artificialmente las cifras de descargas y hacer que el software parezca más popular.

La promoción no se limitó a las plataformas de software. Los atacantes también administraban un canal de YouTube con más de 91,000 suscriptores. Allí aparecían videos en los que se demostraban los programas por un presentador generado por IA.

Al combinar grabaciones de pantalla con presentadores generados artificialmente, según los investigadores, se creó una impresión creíble de legitimidad. Además, se publicaron artículos promocionales en varios sitios de noticias para dar a la campaña un alcance adicional.

Check Point advierte que los ciberdelincuentes usan cada vez más sistemas de reputación, redes sociales y contenido de IA para ganar confianza. Esto hace que sea más difícil para los consumidores distinguir el software legítimo de los programas dañinos.