top of page
Buscar

Mais de 3.000 videos no youtube são usados para espalhar Malware InfoStealer

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 28 de out.
  • 3 min de leitura

ree

Uma sofisticada rede maliciosa de contas no YouTube foi desvendada por Pesquisadores da Check Point, que observaram a publicação e promoção de mais de 3.000 vídeos que direcionavam usuários para downloads de malware. Essencialmente, a operação abusa da popularidade e da confiança associadas à plataforma de hospedagem de vídeos para propagar cargas maliciosas em larga escala.


A rede, batizada de YouTube Ghost Network pela Check Point, está ativa desde 2021, mas seu volume de vídeos maliciosos triplicou desde o início do ano. O Google interveio prontamente, removendo a maioria dos vídeos expostos.

ree

A campanha opera sequestrando contas legítimas do YouTube e substituindo seu conteúdo por vídeos "maliciosos", geralmente centrados em software pirata e trapaças para jogos populares como Roblox. O objetivo é infectar usuários desavisados que procuram por esses materiais. Alguns desses vídeos conseguiram acumular centenas de milhares de visualizações, chegando a picos entre 147.000 e 293.000.


A Estratégia de Confiança dos Hackers


"Esta operação explorou sinais de confiança, incluindo visualizações, curtidas e comentários, para fazer com que o conteúdo malicioso parecesse seguro," explicou Eli Smadja, gerente do grupo de pesquisa de segurança da Check Point. "O que parece um tutorial útil pode, na verdade, ser uma ciberarmadilha sofisticada. A escala, a modularidade e a sofisticação desta rede a tornam um modelo de como os hackers agora utilizam ferramentas de engajamento para disseminar malware."


O uso do YouTube para distribuição de malware não é novidade, com grupos hackers há anos sequestrando canais ou criando contas novas para publicar tutoriais com links maliciosos. No entanto, a YouTube Ghost Network se destaca pela sua organização estrutural e modularidade.


Este ataque faz parte de uma tendência internacional mais ampla, na qual os invasores redirecionam plataformas legítimas para fins nefastos, transformando-as em vias eficazes de distribuição de malware. Campanhas semelhantes já abusaram de redes de anúncios legítimas e até mesmo do GitHub, como no caso da Stargazers Ghost Network. A grande vantagem dessas "Redes Fantasma" é que elas amplificam a legitimidade percebida dos links e, crucialmente, mantêm a continuidade operacional mesmo quando contas são banidas, graças a uma estrutura baseada em funções.


Estrutura e Mecanismos de Disseminação


"Essas contas exploram vários recursos da plataforma, como vídeos, descrições, postagens (um recurso menos conhecido do YouTube, semelhante às postagens do Facebook) e comentários para promover conteúdo malicioso e distribuir malware, ao mesmo tempo em que criam uma falsa sensação de confiança," disse o pesquisador de segurança Antonis Terefos.


A maior parte da rede é composta por contas do YouTube comprometidas, às quais são atribuídas funções operacionais específicas. Essa organização baseada em funções permite uma distribuição mais furtiva e rápida substituição de contas banidas, sem interromper o fluxo da operação.


A Check Point identificou três tipos específicos de contas dentro da rede:

  1. Contas de Vídeo: Carregam vídeos de phishing e fornecem descrições contendo links para download do software anunciado (ou os links são fixados em comentários ou apresentados diretamente no vídeo).

  2. Contas de Postagem: Responsáveis por publicar mensagens e postagens na comunidade contendo links para sites externos.

  3. Contas de Interação: Responsáveis por curtir e postar comentários encorajadores, dando aos vídeos um verniz de confiança e credibilidade.


Os links de download direcionam os usuários para serviços legítimos amplamente utilizados, como MediaFire, Dropbox ou Google Drive, ou para páginas de phishing hospedadas em plataformas como Google Sites, Blogger e Telegraph. Em muitos casos, os links são ocultados usando encurtadores de URL para mascarar o verdadeiro destino.


Entre as famílias de malware distribuídas pela YouTube Ghost Network estão stealers conhecidos e perigosos, incluindo Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer e Phemedrone Stealer, além de outros loaders e downloaders baseados em Node.js.


Dois exemplos notáveis de canais comprometidos incluem:

  • Um canal chamado @Sound_Writer (9.690 inscritos), que foi comprometido por mais de um ano para upload de vídeos sobre software de criptomoedas com o objetivo de implantar o Rhadamanthys.

  • Um canal chamado @Afonesio1 (129.000 inscritos), que foi comprometido para upload de um vídeo anunciando uma versão crackeada do Adobe Photoshop, distribuindo um instalador MSI que implanta o Hijack Loader, que por sua vez entrega o Rhadamanthys.


"A evolução contínua dos métodos de distribuição de malware demonstra a notável adaptabilidade e engenhosidade dos invasores em contornar as defesas de segurança convencionais," concluiu a Check Point. Os hackers estão migrando para estratégias mais sofisticadas e baseadas em plataformas, como as Redes Fantasmas, que se aproveitam da confiança inerente às contas legítimas para orquestrar campanhas de malware em larga escala, persistentes e altamente eficazes.


Via - THN

 
 
 

Comentários

bottom of page