“Rede fantasma” do YouTube tem mais de 3.000 vídeos que espalham vírus; conheça

Um estudo da empresa de cibersegurança Check Point revelou uma rede maliciosa de contas no YouTube focada em publicar e promover vídeos que levam ao download de malwares. Para isso, hackers abusam da popularidade e confiança gerada com a fama da plataforma, seu sistema de likes e comentários e mais.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

A campanha foi chamada de YouTube Ghost Network e está ativa desde 2021, com mais de 3.000 vídeos publicados e em constante evolução: o volume de publicação triplicou desde o início do ano. A Google removeu a maioria dos vídeos maliciosos desde então, mas a operação é complexa e possui várias táticas de recuperação.

Como funciona a “rede fantasma” do YouTube

Para montar a rede maliciosa, os hackers invadiram canais legítimos ou criaram contas novas com vídeos no estilo tutorial para arrecadar visualizações, mas com descrições que levavam os usuários a sites com malwares. Há, no entanto, vários canais diferentes com papéis diferentes.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Enquanto algumas contas são focadas na publicação de vídeos, outras são usadas apenas para dar likes e comentar nos canais principais. Um terceiro tipo ainda é responsável por fazer postagens (tipo de publicação menos conhecido no YouTube) e mensagens de atualização. Caso um desses canais seja banido, outro substitui seu papel rapidamente, mantendo a operação ativa.

As contas de publicação de vídeos e postagens são responsáveis por incluir links maliciosos que levam ao download dos malwares, enquanto as que comentam e dão likes servem apenas para dar legitimidade ao conteúdo. Os links levam as vítimas a sites como Mediafire, Dropbox ou Google Drive, bem como páginas de phishing.

Os malwares espalhados vão de Lumma Stealer, Rhadamanthys, StealC, RedLine e Phemedrone, bem como outros loaders baseados em Node.js. Alguns dos canais principais revelados pelos pesquisadores são @Sound_Writer, com 9.690 inscritos, e @Afonesio1, com 129.000 inscritos, ambos ativos por mais de um ano.

O primeiro prometia dicas de criptomoedas, mas levava ao download do Rhadamanthys, enquanto o segundo dizia ensinar a crackear o Adobe Photoshop, mas instalava o Hijack Loader, que baixava, em seguida, o Rhadamanthys. Segundo a Check Point, a sofisticação crescente das campanhas mostra como mecanismos de engajamento das plataformas são explorados para enganar os usuários. 

Veja mais:

• Hackers norte-coreanos roubaram segredos de drones com engenharia social
• Gangue hacker rouba milhões em vale-presentes ao invadir sistema de empresas
• Hackers exploram falha no SharePoint para invadir sistemas governamentais

VÍDEO | Alerta para usuários do YouTube Premium!

Leia a matéria no Canaltech.