CryptoScam: Ataques dirigidos a creadores de contenido (Youtubers)

El CryptoScam es un tipo de fraude basado en criptomonedas, que consiste en engañar a una persona u organización para que deposite Bitcoins (generalmente) en la billetera de los atacantes.

Este tipo de ataque tuvo mucha repercusión mediática cuando el año pasado la plataforma de Twitter se vio afectada por el compromiso de uno de sus trabajadores y por consiguiente, a una de las aplicaciones de gestión internas de la compañía. Múltiples cuentas verificadas y de personas famosas con millones de seguidores comenzaron a publicar una billetera, con la promesa de devolver el doble a quien realizara un deposito (https://es.wikipedia.org/wiki/Estafa_de_bitcoin_de_Twitter_de_2020).

Este último tiempo, se han estado presentando casos de este mismo tipo en Youtube, donde comprometen cuentas de creadores de contenido de renombre a través de ingeniería social y malware, para luego realizar transmisiones en vivo incitando a los seguidores a depositar en una billetera de los atacantes.

Spear Phishing, el vector de entrada.

En este último tiempo, muchos Youtubers han buscado nuevas formas de obtener ingresos para seguir con su labor de generar contenido para la audiencia. Formas como la monetización de vídeos por parte de servicios como Google Adsense, apoyo vía donación en plataformas como Patreon y la venta de productos del tipo merchandising. Pero, una de las formas más rentables para obtener ingresos es mediante la promoción de algún producto al inicio de los vídeos. Empresas relacionadas al mundo de la edición de vídeos, servicios de seguridad virtual (VPN), aplicaciones de teléfonos, cashback, etc. Son parte del ecosistema de aplicaciones que muchos youtubers promocionan en sus vídeos para obtener ingresos adicionales. Y es aquí donde un vector de ataque aparece, la ingeniería social.

Los actores de amenazas están suplantando la identidad de empresas como Wondershare Technology, Razen, Magix, etc. Para dar una sensación de confianza de que son empresas que ya han trabajado con otros creadores de contenido, promocionando algún producto. Siendo los más comunes, software de edición de vídeo, recuperación de datos, creadores de mezclas musicales y aplicaciones del tipo VPN.

Actualmente los operadores de amenazas están perfeccionando la forma de enviar los correos a sus posibles victimas, mejorado la estética del correo y utilizando nombres de dominios validos sin las medidas de seguridad de DMARC para llevar acabo los ataques de SpearPhishing.

Los actores de amenazas detrás de estas campañas de Spear Phishing buscan que la victima se deje llevar por el titulo del correo electrónico y moverlo a una aplicación de mensajería instantánea como lo es WhastApp y Telegram, donde allí se le dará instrucciones de como descargar la aplicación. También adjuntan documento del tipo Word o PDF con enlaces a la plataforma de descarga.

Recientemente se nos ha hecho llegar nueva información de que algunos operadores de amenazas están suplantando los correos electrónicos legítimos de algunas organizaciones, mediante el uso de plataformas de servicios de correo electrónico como post.cz.

En general, los correos electrónicos que son usados para estas campañas son de servicios gratuitos y enviados a diferentes creadores de contenido, gracias a los correos públicos que muchos de estos creadores ponen a disposición para marcas y negocios.

¿Dónde esta almacenado el «instalador»?

Los actores de amenazas usan diferentes maneras para que la victima pueda descargar su aplicación y lo pueda ejecutar en su computadora. Donde la probabilidad de que el usuario tenga iniciada sesión es alta. Hasta el momento, estos operadores de amenazas están usando servicios como:

• Dropbox.
• Google Drive.
• GitHub.
• OneDrive.
• Sitios Scam (Menos frecuente).

Para evitar sospechas por parte de la victima, los actores de amenazas utilizan un acortador de enlaces personalizado o con un orden de letras y números aleatorios. Con el fin de no colapsar el mensaje que es enviado por algún servicio de mensajería instantánea como lo es WhatsApp, Telegram o vía correo electrónico.

Los actores de amenazas prefieren servicios en la nube como lo son Dropbox y Google Drive (principalmente) debido a la comodidad, facilidad de uso como también, una forma de evitar los primeros mecanismos de seguridad de muchos navegadores. También se tiene claro que no muchos antivirus logran detectar el Payload al momento de ser ejecutado por el usuario, lo que cataloga esta amenaza en un nivel alto.

¿Qué realiza el Malware?

Según la matriz de ataque de MITRE ATT&CK

Según operaciones que ejecuta en el equipo víctima

Diferencia de pesos entre los instaladores:

Una particularidad a tomar en cuenta al momento de verificar un instalador, es el peso que tiene en total. Muchos de estos instaladores tienden a pesar más de lo normal. Los 3 IOCs que actualmente nos encontramos analizando superan los 0.5 GB promedio. Lo cual no coincide con el peso de los instaladores oficiales de Magix Music Marker y Wondershare Filmora. Además que los certificados digitales de los instaladores falsos no son emitidos por las mismas empresas desarrolladoras de los programas y usando certificados de Microsoft y Google. Mientras que los originales vendrán con el nombre de la casa matriz.

Archivos maliciosos:

Imagen 4, 5, 6, 7, 8, 9: Foto capturas de los archivos maliciosos con sus certificados digitales.

Instaladores originales:

Comunicación con el C2:

En las muestras obtenidas gracias a los diferentes creadores de contenido que han confiado en CronUp Ciberseguridad, hemos estado identificando que todos los datos que son recopilados de los navegadores (Google Chrome/Mozilla Firefox) son enviados a dominios de carácter sospechoso. El cual se encuentra detrás de la nube de seguridad CloudFlare para evitar descubrir la dirección IP del Hosting/VPS.

Por el tipo de comunicación se cree que el Malware podría ser Taurus Stealer en su verisón 1.7, el sucesor de Predator The Thief.

Objetivos principales tras el acceso:

Los actores de amenazas buscan realizar una estafa denominada CryptoScam vía Stream. Lo que se intenta hacer con este stream es el de dar confianza a los usuarios targets de realizar un deposito en una determinada moneda, con una cantidad «x» y en una billetera en particular, la cual, si realizas un depósito durante el stream, en un determinado tiempo se te regresará el doble de lo invertido. Mientras que de fondo se muestra un vídeo pre-grabado de gente hablando sobre las criptomonedas. También es muy frecuente que la imagen de Elon Musk sea usado para estas estafas.

Mientras el stream se lleva a cabo, los actores de amenazas que tienen control en el canal, proceden a cambiar la imagen de perfil, el nombre de la cuenta y la descripción del stream, con el fin de dirigir a los target al sitio scam, en donde aparece cosas relacionadas a supuestos depósitos y recompensados.

Una vez realizado el cometido, los actores proceden a chantajear al o los dueños del canal con una cierta cantidad de dinero (dependiendo de la cantidad de suscriptores el valor será más alto).

Diagramas del Modus Operandi de los actores de amenazas:

Ver diagrama más detallado aquí

Recomendaciones para los YouTubers y agencias:

1. Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
2. Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
3. No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
4. No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
5. Manténgase informado de las últimas amenazas y riesgos en Internet.
6. Ante cualquier anormalidad en el equipo notifique de inmediato a la mesa de ayuda.
7. Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
8. No facilite datos de contacto personales (Número telefónico, correo personal, etc).

¿Qué hacer si mi cuenta ha sido comprometida?

• Cambiar la contraseña de tú cuenta de Google.
• Cambiar las contraseñas de tus redes sociales.
• Notificar a tus seguidores en otras redes sociales de lo ocurriendo.
• Aislar el equipo infectado.
• Contactar con algún especialista en ciberseguridad o informático de confianza.
• Avisar a la plataforma de lo ocurriendo.
• Denunciar el stream que se estará llevando a cabo.

IOCs (Indicadores de Compromiso):

Archivos de Ofimática:

• 19df593ede19c7bc19535ca7a06da908
• b4412e49dcf0bef14e819830c8ae75f6
• 30c5a48ff39a1a38e6585f25c01bfc28

Archivos .ZIP:

• 5b1816005adaa5eb297a2fd4a4a6eee2
• a5eee3c79b034f35e017f18d20066a9e
• 3d04a5f2499161d41e09c520cdf4b106
• d86660dabe13d725cc14711d45d88182

Archivos .EXE

• bea9a069887845ffa2db931d401b5fb0
• b83c71865a176fbfd4d29f344c01b54c
• 76047439d6475ac3680839e63f9f03ac
• c8b11d73984cdc082d856c36873a300e
• d86660dabe13d725cc14711d45d88182
• d41d8cd98f00b204e9800998ecf8427e

Correos Electrónicos:

• [email protected][.]com
• [email protected][.]cz
• [email protected][.]cz
• tradingview[.][email protected]
• [email protected][.]world

Dominios SCAM:

• wondershare-filmora[.]us
• filmora-wondershare[.]club
• filmora-wondershare[.]online
• filmora-wondershare[.]biz
• filmora-wondershare[.]fun
• filmora-wondershare[.]us

IPs – C2:

• 80[.]89[.]224[.]252:3214
• 95[.]217[.]151[.]136
• advhataysgay[.]xyz
• denis-pushilin[.]info
• exiredprojectint[.]xyz

Nota: Este artículo se encuentra en desarrollo constante, por lo cual, a medida que se obtengan nuevas evidencias seguiremos ampliando con más información.

Una investigación realizada por:

• 📡 Camilo Mix @LixaH_CL – Analista de Ciberinteligencia.

En cooperación de:

• 📡 German Fernández @1ZRR4H – Líder Red Team & Threat Intelligence.
• 📡 Defconisov3r @ov3rflow1 – Colaborador.
• 📡 Marc Almeida @cibernicola_es – Colaborador.

Artículos relacionados

• https://www.cibernicola.es/esquemas/phishing/phishingTyposquatting.svg
• https://www.kaspersky.com/resource-center/definitions/spear-phishing
• https://tria.ge/210112-zqat87g2bs/behavioral2
• https://tria.ge/210112-v8f99pt8aa/behavioral1
• https://tria.ge/210305-kal2t1vmv2
• https://www.joesandbox.com/analysis/338318/0/html

Camilo Mix

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.