YouTubers são chantageados com falsas denúncias de Copyright para espalhar Malware

Hackers estão enviando reivindicações falsas de direitos autorais a criadores de conteúdo no YouTube, coagindo-os a promover malware e mineradores de criptomoedas em seus vídeos.

Os invasores exploram a crescente popularidade das ferramentas Windows Packet Divert (WPD), amplamente utilizadas na Rússia para contornar a censura na internet e restrições governamentais em sites e serviços online. Criadores de conteúdo que produzem tutoriais sobre essas ferramentas estão sendo alvo de hackers que se passam por detentores dos direitos autorais desses programas.

Segundo a Kaspersky, os hackers afirmam ser os desenvolvedores originais das ferramentas de bypass e apresentam falsas denúncias de copyright ao YouTube. Em seguida, entram em contato com os criadores, propondo uma “solução”: incluir um link de download fornecido pelos criminosos nos vídeos. Caso os criadores não aceitem, são ameaçados com mais duas denúncias, o que poderia levar ao banimento de seus canais, conforme a política de três strikes do YouTube.

Em outras situações, os hackers entram em contato diretamente com os criadores, alegando que a ferramenta original tem uma nova versão e fornecendo um novo link para download. Com medo de perder seus canais, muitos aceitam e adicionam os links maliciosos em seus vídeos, sem perceber que estão distribuindo versões adulteradas das ferramentas WPD.

Ataques com Malware e Cryptominer

As versões comprometidas das ferramentas contêm trojans projetados para instalar um minerador de criptomoedas. A Kaspersky identificou que um desses vídeos já atingiu 400 mil visualizações, resultando em 40 mil downloads do malware antes de ser removido. Além disso, um canal no Telegram com 340 mil inscritos também promoveu o malware sob o mesmo disfarce.

Segundo os dados da Kaspersky, a campanha já infectou mais de 2.000 dispositivos na Rússia, mas o número real de vítimas pode ser muito maior.

O malware é baixado como um arquivo compactado a partir de repositórios no GitHub. Ele contém um carregador de malware baseado em Python, executado via PowerShell através de um script inicial modificado chamado general.bat. Caso o antivírus da vítima bloqueie a execução, o script exibe um erro "arquivo não encontrado", sugerindo que o usuário desative sua proteção e baixe o arquivo novamente.

Se o ataque for bem-sucedido, um segundo carregador é baixado e executado no sistema, mas apenas para endereços IP russos. Esse carregador é inflado para 690 MB para evitar detecção por softwares antivírus e conta com verificações para evitar análise em máquinas virtuais e ambientes de sandbox.

Uma vez instalado, o malware desativa proteções do Microsoft Defender, cria um serviço chamado "DrvSvc" para persistência e baixa o SilentCryptoMiner, uma versão modificada do minerador XMRig, que pode minerar múltiplas criptomoedas como ETH, ETC, XMR e RTM.

Para evitar detecção, o minerador utiliza injeção de processos e pausa sua atividade sempre que a vítima abre ferramentas de monitoramento como o Gerenciador de Tarefas.

Embora a campanha tenha sido detectada na Rússia, a Kaspersky alerta que essa tática pode ser utilizada em ataques mais amplos, distribuindo malwares mais perigosos, como ladrões de informações (info-stealers) e ransomware.

Usuários devem evitar baixar softwares a partir de links em descrições de vídeos no YouTube, especialmente em canais pequenos e médios, que são alvos mais vulneráveis para esse tipo de golpe.

Via - BC