Vuelvo a la carga con otra campaña de phishing.
Esta vez, tan buena que incluso he dudado de que fuera real.
Te lo cuento.
Índice de contenido
El gancho
Hace unos días recibía un email en nombre, supuestamente, de un tal Allison Butier, un desarrollador de MiHoYo, la empresa que está detrás del popular MMORPG Genshin Impact, ofreciéndome un acuerdo publicitario para mi canal de Youtube.
Hello, I’m Allison Butler and I represent the mobile game Genshin Impact, developer MiHoYo.
We are running a campaign to promote our product and have chosen YouTube as our means of promotion.
We would be interested in collaborating with you.
If you are interested in collaborating, answer this email and our manager will contact you shortly.
Aquí ya había algunas cosas que no me cuadraban:
- Supuestamente me estaban escribiendo desde el departamento de marketing de la empresa, pero al parecer quien firmaba era desarrollador. Rarísimo que un desarrollador sea a la vez comercial, y más en una empresa tan potente como esta.
- Para colmo, el dominio desde donde me escribían pertenecía a ¡una página de República Checa! Una web informativa, para más inri, que poco tiene que ver con el estudio chino.
Pero mira, llevo ya muchos años dedicándome a esto, y sobre todo con acuerdos comerciales con empresas de Asia he visto de todo. De verdad, desde trabajadores que se ponen nombres españoles y te escriben con el Google Translate, hasta relaciones realmente extrañas a nivel de comunicación, con la firma de contratos larguísimos simplemente para pagar un artículo patrocinado de pocos cientos de euros.
Lo suficiente, al menos, para que pudiera colar perfectamente que MiHoYo hubiera contratado a una empresa de marketing checo para llegar a acuerdos con creadores de contenido europeos y/o occidentales.
Les respondí sin mucha ilusión, por ver lo que me contaban.
Tardaron varios días en responderme, pero es entonces cuando me encuentro lo siguiente:
Por resumirlo muy mucho, básicamente estaban dispuestos a pagarme 1500 dólares por un preroll dentro de un vídeo que subiera a mi canal.
1500 dólares por apenas unos segundos en los que mencionase el juego de marras.
A mi canal de Youtube (ES), que lo tengo básicamente como soporte audiovisual para subir entrevistas o apariciones en medios.
Si al menos estuviésemos hablando de un patrocinio en el blog, todavía. Pero es que en mi canal de Youtube, que debe tener como 600 suscriptores…
Fue entonces cuando me interesé más con la propuesta.
Tenía que haber gato encerrado.
¡Y vaya si lo había!
El fraude
En el email me pasaban varios enlaces a vídeos de diferentes Youtubers que, en efecto, hablaban de Genshin Impact. Y sí, en este caso estaba ante influencers con centenares de miles de seguidores. Algo más lógico.
Además, me compartía el press kit del juego mediante un enlace en Mega.
Me cercioré de que, en efecto, era la página de Mega a la que me redirigía, y cuando estuve seguro, entré en ella, para descargarme ese media kit.
El archivo era, como puedes ver, un ZIP que además venía con contraseña. Claro, todo muy protegido, no fuera que el media kit acabase en malas manos :D.
Y dentro, tres archivos:
- Un documento de texto.
- Un vídeo.
- Un archivo ejecutable.
Mal asunto…
Pasé los tres archivos por Virus Total (EN) a ver si sonaban las alarmas.
- En el documento de texto, todo en orden.
- En el vídeo, todo en orden.
- Pero ¡el archivo ejecutable venía con regalo!
¡He aquí donde está el fraude!
Concretamente, cuatro proveedores de antivirus identificaron un troyano. Una variante de Obsidium. Buscando por Internet, me entero de que estamos ante un troyano que fue muy utilizado a partir de 2020, y para muy diversos usos.
Hubiera bastado con que un servidor abriese ese archivo desde un Windows (lo habitual si eres jugador de videojuegos), para que los cibercriminales ya tuvieran acceso a mi ordenador.
Qué objetivos tiene este ataque y qué podemos hacer para evitarlo
Al tratarse de una infección por malware, y además estar dentro de una campaña dirigida a creadores de contenido, me da que el objetivo principal es hacerse con el control de nuestras páginas y perfiles en plataformas como Youtube y redes sociales, con el fin, seguramente, de infectar con posteriores ataques a nuestros seguidores.
Concretamente a los usuarios de esta página.
A CyberBrainers nos llegaron hace unas semanas un chaval de un popular canal de Youtube que le habían conseguido robar la cuenta, y después de analizar el caso, todo apuntaba que el ataque había sido posible gracias a la instalación de otro troyano en su ordenador, seguramente con la excusa de algún acuerdo publicitario como este.
Una vez con la cuenta en su poder, los cibercriminales suelen cargar contenido audiovisual con supuestos tutoriales en nombre del creador que incentiva a los seguidores a instalar algún programa que viene también troyanizado.
De ahí que los perfiles que tenemos alguna capacidad mediática seamos objetivos prioritarios de estas redes de cibercriminales. A fin de cuentas, atacar con éxito a alguno de nosotros supone, en la posterior campaña de infección, muy probablemente comprometer la seguridad de miles de usuarios, al usar nuestra credibilidad como creadores de contenido frente a nuestra audiencia como gancho.
En fin, que solo quería explicar por aquí cómo funcionan este tipo de timos.
Por supuesto, si eres un creador de contenido (o un usuario normal) lo mejor que te puedo decir es que por defecto desconfíes de cualquier propuesta que te hagan, y que apliques los pasos que ya definimos en su día para identificar campañas de phishing (fijarse en quién te lo envía, fijarse en qué te envía, desconfiar de cualquier documento adjunto).
Qué hacer para evitar ser víctima de fraudes
- 3 elementos que delatan a las campañas de phishing o fraude por email
- Qué hacer en caso de haber sido víctima de un fraude
- Cómo recuperar el dinero que nos han robado
- Cómo nos protegemos de los fraudes en Internet
- Cómo saber si esa persona con la que chateamos es quien dice ser
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
Otros fraudes que deberías conocer
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funciona el timo basado en la extorsión para no divulgar contenido de índole sexual/pornográfico
- Cómo funcionan los fraudes basados en SMSs Premium
- Cómo funciona el timo de: «Tengo fotos tuyas, paga o difundo»
- Cómo funcionan los fraudes de descarga de libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por una notificación de la DEHÚ
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funcionan las estafas de criptomonedas de tipo Rug Pull
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- Cómo funciona el fraude del incumplimiento de copyright con imágenes
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso