Existen muchos tipos diferentes de malware. Empezando por un simple virus de corrupción de archivos hasta complejos ransomware, el malware es capaz de cumplir prácticamente con cualquier función deseada por sus creadores. En esta ocasión, un nuevo troyano circula por la red con un fin muy diferente de los vistos hasta ahora: sumar visitas a vídeos de YouTube.
Un grupo de piratas informáticos ha desarrollado un nuevo malware en el que busca aprovecharse del programa de referidos de YouTube. Este programa paga a los usuarios según el número de visitas que tenga un determinado vídeo así como por todos aquellos que se registren en la red social gracias a ellos. Este troyano, que ha sido denominado como «Tubrosa» llega a las víctimas a través de un archivo adjunto en el correo electrónico (probablemente a través de una lista de correo comprada en la darknet) que, una vez se descarga y se ejecuta en el sistema de la víctima, comienza a funcionar.
La forma de trabajar de este troyano puede dividirse en dos partes:
En primer lugar, un script en PHP se encarga de conectarse de forma remota a una plataforma web donde crea «usuarios ficticios» con el fin de saltarse los controles de Google de cara a comprobar si las visitas son reales o ficticias.
Una vez que se ha establecido un usuario (con su ubicación única, identidad falsa única, etc) descarga una lista con miles de vídeos que ejecuta en segundo plano en el sistema infectado bajo una identidad de las anónimas creadas anteriormente. Para evitar que el usuario pueda darse cuenta de la amenaza, el malware silencia la salida de audio del ordenador, por lo que en teoría «no se oye nada de fondo».
La única forma de poder sospechar de esta amenaza es comprobar que el sistema tiene una carga inusual (casi el 100% de los recursos del hardware al ejecutar varios vídeos al mismo tiempo con varias identidades). La empresa de seguridad que ha identificado y estudiado este malware ha sido Symantec y, actualmente, ya se encuentra en varias bases de datos de las principales firmas antivirus.
Este malware no se ha detectado (por el momento) en los foros de compra-venta clandestina de software, por lo que probablemente únicamente esté siendo utilizado por un grupo concreto de piratas informáticos. Tubrosa ha estado activo desde agosto de 2014 y, en ese periodo, ha recaudado miles de dólares a través del programa de recompensas de YouTube. Habrá que esperar para ver si Google aplica algún tipo de protección para evitar que este tipo de malware pueda estafar a su red social de vídeos.
Fuente: Softpedia