CryptoScam: Ataques dirigidos a creadores de contenido (Youtubers)

Actualizado: feb 17


Última actualización: 17 de enero del 2021


El CryptoScam es un tipo de fraude basado en criptomonedas, que consiste en engañar a una persona u organización para que deposite Bitcoins (generalmente) en la billetera de los atacantes.


Este tipo de ataque tuvo mucha repercusión mediática cuando el año pasado la plataforma de Twitter se vio afectada por el compromiso de uno de sus trabajadores y por consiguiente, a una de las aplicaciones de gestión internas de la compañía. Múltiples cuentas verificadas y de personas famosas con millones de seguidores comenzaron a publicar una billetera, con la promesa de devolver el doble a quien realizara un deposito (https://es.wikipedia.org/wiki/Estafa_de_bitcoin_de_Twitter_de_2020).


Este último tiempo, se han estado presentando casos de este mismo tipo en Youtube, donde comprometen cuentas de creadores de contenido de renombre a través de ingeniería social y malware, para luego realizar transmisiones en vivo incitando a los seguidores a depositar en una billetera de los atacantes.



Spear Phishing, el vector de entrada.


En este último tiempo, muchos Youtubers han buscado nuevas formas de obtener ingresos para seguir con su labor de generar contenido para la audiencia. Formas como la monetización de vídeos por parte de servicios como Google Adsense, apoyo vía donación en plataformas como Patreon y la venta de productos del tipo merchandising. Pero, una de las formas más rentables para obtener ingresos es mediante la promoción de algún producto al inicio de los vídeos. Empresas relacionadas al mundo de la edición de vídeos, servicios de seguridad virtual (VPN), aplicaciones de teléfonos, cashback, etc. Son parte del ecosistema de aplicaciones que muchos youtubers promocionan en sus vídeos para obtener ingresos adicionales. Y es aquí donde un vector de ataque aparece, la ingeniería social.


Los actores de amenazas están suplantando la identidad de empresas como Wondershare Technology, Razen, Magix, etc. Para dar una sensación de confianza de que son empresas que ya han trabajado con otros creadores de contenido, promocionando algún producto. Siendo los más comunes, software de edición de vídeo, recuperación de datos, creadores de mezclas musicales y aplicaciones del tipo VPN.


Imagenes 1,2,3: Correo enviado por unos de los actores de amenazas a Youtubers con más de 100.000 suscriptores.


Los actores de amenazas detrás de estas campañas de Spear Phishing buscan que la victima se deje llevar por el titulo del correo electrónico y moverlo a una aplicación de mensajería instantánea como lo es WhastApp y Telegram, donde allí se le dará instrucciones de como descargar la aplicación. También adjuntan documento del tipo Word o PDF con enlaces a la plataforma de descarga.


Imagen 4: Documento en formato PDF suplantando la empresa de productos gaming, Razer.


En general, los correos electrónicos que son usados para estas campañas son de servicios gratuitos y enviados a diferentes creadores de contenido, gracias a los correos públicos que muchos de estos creadores ponen a disposición para marcas y negocios.


¿Dónde esta almacenado el "instalador"?


Los actores de amenazas usan diferentes maneras para que la victima pueda descargar su aplicación y lo pueda ejecutar en su computadora. Donde la probabilidad de que el usuario tenga iniciada sesión es alta. Hasta el momento, estos operadores de amenazas están usando servicios como:

  • Dropbox.

  • Google Drive.

  • GitHub.

  • OneDrive.

  • Sitios Scam (Menos frecuente).

Para evitar sospechas por parte de la victima, los actores de amenazas utilizan un acortador de enlaces personalizado o con un orden de letras y números aleatorios. Con el fin de no colapsar el mensaje que es enviado por algún servicio de mensajería instantánea como lo es WhatsApp, Telegram o vía correo electrónico.

Imagen 5: Dirección final de los acortadores mandados a las victimas vía WhatsApp (Créditos a @ov3rflow1)


Los actores de amenazas prefieren servicios en la nube como lo son Dropbox y Google Drive (principalmente) debido a la comodidad, facilidad de uso como también, una forma de evitar los primeros mecanismos de seguridad de muchos navegadores. También se tiene claro que no muchos antivirus logran detectar el Payload al momento de ser ejecutado por el usuario, lo que cataloga esta amenaza en un nivel alto.


¿Qué realiza el Malware?


Según la matriz de ataque de MITRE ATT&CK

Según operaciones que ejecuta en el equipo víctima


Diferencia de pesos entre los instaladores:


Una particularidad a tomar en cuenta al momento de verificar un instalador, es el peso que tiene en total. Muchos de estos instaladores tienden a pesar más de lo normal. Los 3 IOCs que actualmente nos encontramos analizando superan los 0.5 GB promedio. Lo cual no coincide con el peso de los instaladores oficiales de Magix Music Marker y Wondershare Filmora. Además que los certificados digitales de los instaladores falsos no son emitidos por las mismas empresas desarrolladoras de los programas y usando certificados de Microsoft y Google. Mientras que los originales vendrán con el nombre de la casa matriz.


Archivos maliciosos:

Imagen 6,7,8,9,10,11: Foto capturas de los archivos maliciosos con sus certificados digitales.


Instaladores originales:

Imagen 12,13,14,15: Foto capturas de las propiedades de los instaladores originales y sus certificados digitales.


Comunicación con el C2:


En las muestras obtenidas gracias a los diferentes creadores de contenido que han confiado en CronUp Ciberseguridad, hemos estado identificando que todos los datos que son recopilados de los navegadores (Google Chrome/Mozilla Firefox) son enviados a dominios de carácter sospechoso. El cual se encuentra detrás de la nube de seguridad CloudFlare para evitar descubrir la dirección IP del Hosting/VPS.

Imagen 16: Captura de los dominios vinculados con la IP 172[.]67[.]178[.]39 vía VirusTotal.


Imagen 17: Captura de comunicación con el C2 exiredprojectint[.]xyz


Por el tipo de comunicación se cree que el Malware podría ser Taurus Stealer en su verisón 1.7, el sucesor de Predator The Thief.


Objetivos principales tras el acceso:


Los actores de amenazas buscan realizar una estafa denominada CryptoScam vía Stream. Lo que se intenta hacer con este stream es el de dar confianza a los usuarios targets de realizar un deposito en una determinada moneda, con una cantidad "x" y en una billetera en particular, la cual, si realizas un depósito durante el stream, en un determinado tiempo se te regresará el doble de lo invertido. Mientras que de fondo se muestra un vídeo pre-grabado de gente hablando sobre las criptomonedas. También es muy frecuente que la imagen de Elon Musk sea usado para estas estafas.


Mientras el stream se lleva a cabo, los actores de amenazas que tienen control en el canal, proceden a cambiar la imagen de perfil, el nombre de la cuenta y la descripción del stream, con el fin de dirigir a los target al sitio scam, en donde aparece cosas relacionadas a supuestos depósitos y recompensados.


Una vez realizado el cometido, los actores proceden a chantajear al o los dueños del canal con una cierta cantidad de dinero (dependiendo de la cantidad de suscriptores el valor será más alto).


Imagen 18, 19, 20, 21, 22 y 23: Foto capturas de streaming relacionados con CryptoScam en diferentes canales comprometidos de YouTube.


Diagramas del Modus Operandi de los actores de amenazas:

Imagen 24: Diagrama del modus operandi de estos actores de amenazas.


Imagen 25: Diagrama del modus operandi de los actores de amenazas, hecho por Marc Almeida (@cibernicola_es).

Ver diagrama más detallado aquí



Recomendaciones para los YouTubers y agencias:

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo notifique de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

  • No facilite datos de contacto personales (Número telefónico, correo personal, etc).


¿Qué hacer sí mi cuenta ha sido comprometida?

  • Cambiar la contraseña de tú cuenta de Google.

  • Cambiar las contraseñas de tus redes sociales.

  • Notificar a tus seguidores en otras redes sociales de lo ocurriendo.

  • Aislar el equipo infectado.

  • Contactar con algún especialista en ciberseguridad o informático de confianza.

  • Avisar a la plataforma de lo ocurriendo.

  • Denunciar el stream que se estará llevando a cabo.


IOCs (Indicadores de Compromiso):


Archivos de Ofimática:

  • 19df593ede19c7bc19535ca7a06da908

  • b4412e49dcf0bef14e819830c8ae75f6

Archivos .ZIP:

  • 5b1816005adaa5eb297a2fd4a4a6eee2

  • a5eee3c79b034f35e017f18d20066a9e

  • 3d04a5f2499161d41e09c520cdf4b106

Archivos .EXE

  • bea9a069887845ffa2db931d401b5fb0

  • b83c71865a176fbfd4d29f344c01b54c

  • 76047439d6475ac3680839e63f9f03ac

  • c8b11d73984cdc082d856c36873a300e

Correos Electrónicos:

  • alexa.prmanager@gmail[.]com

  • patriciamanager@centrum[.]cz

  • slyviavalletta@email[.]cz

  • contact@razer-affiliates[.]world

Dominios SCAM:


C2 (Command and Control):

  • advhataysgay[.]xyz

  • exiredprojectint[.]xyz


Nota: Este artículo se encuentra en desarrollo constante, por lo cual, a medida que se obtengan nuevas evidencias seguiremos ampliando con más información.


Una investigación realizada por:

  • 📡 Camilo Mix @LixaH_CL - Analista de Ciberinteligencia.

En cooperación de:


Artículos relacionados

Entradas Recientes

Ver todo

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Escríbenos a

Síguenos en

  • Icono social Twitter
  • Icono social LinkedIn
  • Facebook icono social