Uma sofisticada rede maliciosa de contas no YouTube foi desvendada por Pesquisadores da Check Point, que observaram a publicação e promoção de mais de 3.000 vídeos que direcionavam usuários para downloads de malware. Essencialmente, a operação abusa da popularidade e da confiança associadas à plataforma de hospedagem de vídeos para propagar cargas maliciosas em larga escala.

A rede, batizada de YouTube Ghost Network pela Check Point, está ativa desde 2021, mas seu volume de vídeos maliciosos triplicou desde o início do ano. O Google interveio prontamente, removendo a maioria dos vídeos expostos.

A campanha opera sequestrando contas legítimas do YouTube e substituindo seu conteúdo por vídeos "maliciosos", geralmente centrados em software pirata e trapaças para jogos populares como Roblox. O objetivo é infectar usuários desavisados que procuram por esses materiais. Alguns desses vídeos conseguiram acumular centenas de milhares de visualizações, chegando a picos entre 147.000 e 293.000.

A Estratégia de Confiança dos Hackers

"Esta operação explorou sinais de confiança, incluindo visualizações, curtidas e comentários, para fazer com que o conteúdo malicioso parecesse seguro," explicou Eli Smadja, gerente do grupo de pesquisa de segurança da Check Point. "O que parece um tutorial útil pode, na verdade, ser uma ciberarmadilha sofisticada. A escala, a modularidade e a sofisticação desta rede a tornam um modelo de como os hackers agora utilizam ferramentas de engajamento para disseminar malware."

O uso do YouTube para distribuição de malware não é novidade, com grupos hackers há anos sequestrando canais ou criando contas novas para publicar tutoriais com links maliciosos. No entanto, a YouTube Ghost Network se destaca pela sua organização estrutural e modularidade.

Este ataque faz parte de uma tendência internacional mais ampla, na qual os invasores redirecionam plataformas legítimas para fins nefastos, transformando-as em vias eficazes de distribuição de malware. Campanhas semelhantes já abusaram de redes de anúncios legítimas e até mesmo do GitHub, como no caso da Stargazers Ghost Network. A grande vantagem dessas "Redes Fantasma" é que elas amplificam a legitimidade percebida dos links e, crucialmente, mantêm a continuidade operacional mesmo quando contas são banidas, graças a uma estrutura baseada em funções.

Estrutura e Mecanismos de Disseminação

"Essas contas exploram vários recursos da plataforma, como vídeos, descrições, postagens (um recurso menos conhecido do YouTube, semelhante às postagens do Facebook) e comentários para promover conteúdo malicioso e distribuir malware, ao mesmo tempo em que criam uma falsa sensação de confiança," disse o pesquisador de segurança Antonis Terefos.

A maior parte da rede é composta por contas do YouTube comprometidas, às quais são atribuídas funções operacionais específicas. Essa organização baseada em funções permite uma distribuição mais furtiva e rápida substituição de contas banidas, sem interromper o fluxo da operação.

A Check Point identificou três tipos específicos de contas dentro da rede:

1. Contas de Vídeo: Carregam vídeos de phishing e fornecem descrições contendo links para download do software anunciado (ou os links são fixados em comentários ou apresentados diretamente no vídeo).

2. Contas de Postagem: Responsáveis por publicar mensagens e postagens na comunidade contendo links para sites externos.

3. Contas de Interação: Responsáveis por curtir e postar comentários encorajadores, dando aos vídeos um verniz de confiança e credibilidade.

Os links de download direcionam os usuários para serviços legítimos amplamente utilizados, como MediaFire, Dropbox ou Google Drive, ou para páginas de phishing hospedadas em plataformas como Google Sites, Blogger e Telegraph. Em muitos casos, os links são ocultados usando encurtadores de URL para mascarar o verdadeiro destino.

Entre as famílias de malware distribuídas pela YouTube Ghost Network estão stealers conhecidos e perigosos, incluindo Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer e Phemedrone Stealer, além de outros loaders e downloaders baseados em Node.js.

Dois exemplos notáveis de canais comprometidos incluem:

• Um canal chamado @Sound_Writer (9.690 inscritos), que foi comprometido por mais de um ano para upload de vídeos sobre software de criptomoedas com o objetivo de implantar o Rhadamanthys.

• Um canal chamado @Afonesio1 (129.000 inscritos), que foi comprometido para upload de um vídeo anunciando uma versão crackeada do Adobe Photoshop, distribuindo um instalador MSI que implanta o Hijack Loader, que por sua vez entrega o Rhadamanthys.

"A evolução contínua dos métodos de distribuição de malware demonstra a notável adaptabilidade e engenhosidade dos invasores em contornar as defesas de segurança convencionais," concluiu a Check Point. Os hackers estão migrando para estratégias mais sofisticadas e baseadas em plataformas, como as Redes Fantasmas, que se aproveitam da confiança inerente às contas legítimas para orquestrar campanhas de malware em larga escala, persistentes e altamente eficazes.

Via - THN