Uma rede maliciosa de contas no YouTube vem sendo usada para publicar e promover vídeos que levam ao download de malware, explorando a popularidade e a confiança associadas à plataforma para disseminar cargas maliciosas.
Ativa desde 2021, essa rede já publicou mais de 3 mil vídeos comprometidos até o momento, com o volume de conteúdo malicioso triplicando somente neste ano.
Batizada pela empresa Check Point como YouTube Ghost Network, grande parte dessas publicações já foi removida pelo Google.
A campanha se aproveita de contas hackeadas, cujos conteúdos originais são substituídos por vídeos maliciosos focados em softwares piratas e cheats para o jogo Roblox.
O objetivo é infectar usuários desavisados que buscam por esses conteúdos com malwares do tipo stealer.
Alguns vídeos chegaram a acumular entre 147 mil e 293 mil visualizações.
“Essa operação tira proveito dos sinais de confiança, como visualizações, likes e comentários, para fazer o conteúdo malicioso parecer legítimo”, explicou Eli Smadja, gerente do grupo de pesquisas em segurança da Check Point.
“Um tutorial aparentemente útil pode ser, na verdade, uma armadilha digital sofisticada.
A escala, modularidade e complexidade dessa rede mostram como os atacantes agora utilizam ferramentas de engajamento para espalhar malware.”
O uso do YouTube para distribuição de malware não é novidade.
Há anos, cibercriminosos invadem canais legítimos ou criam contas novas para publicar vídeos em formato de tutorial, contendo descrições com links maliciosos que, ao serem clicados, direcionam para downloads infectados.
Esses ataques fazem parte de uma tendência maior: a apropriação de plataformas legítimas para fins ilícitos, transformando-as em canais eficazes para propagação de malware.
Enquanto algumas campanhas abusam de redes de anúncios legítimas, como as do Google e Bing, outras utilizam o GitHub como veículo de entrega — como no caso da Stargazers Ghost Network.
Um dos motivos para o sucesso das Ghost Networks é sua capacidade de ampliar a aparência de legitimidade dos links compartilhados e manter continuidade operacional mesmo quando contas são banidas ou excluídas, graças a uma estrutura baseada em funções.
“Essas contas exploram diferentes recursos da plataforma — vídeos, descrições, posts (recurso pouco conhecido no YouTube, similar ao Facebook) e comentários — para promover conteúdo malicioso e distribuir malware, enquanto criam uma falsa sensação de confiança”, destacou Antonis Terefos, pesquisador em segurança.
“A maior parte da rede é composta por contas comprometidas, que recebem papéis operacionais específicos.
Essa organização por funções permite uma distribuição mais discreta, pois contas banidas são rapidamente substituídas sem interromper a operação.”
Existem três tipos principais de contas nessa rede:
- Video-accounts: responsáveis por enviar vídeos de phishing, com descrições que contêm links para download dos softwares anunciados; às vezes esses links aparecem em comentários fixados ou diretamente no vídeo durante a instalação.
- Post-accounts: dedicadas a publicar mensagens na comunidade e posts com links para sites externos.
- Interact-accounts: curtem e postam comentários incentivadores para dar uma aparência de confiança e credibilidade aos vídeos.
Esses links direcionam os usuários a serviços como MediaFire, Dropbox, Google Drive ou a páginas de phishing hospedadas no Google Sites, Blogger e Telegraph, que por sua vez abrigam os links para os downloads prometidos.
Em muitos casos, os links são encurtados para mascarar o destino real.
Algumas das famílias de malware distribuídas pela YouTube Ghost Network incluem Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer, além de loaders e downloaders baseados em Node.js.
Dentre os canais comprometidos estão:
- @Sound_Writer (9.690 inscritos), invadido por mais de um ano para publicar vídeos de softwares relacionados a criptomoedas que implantam o Rhadamanthys.
- @Afonesio1 (129 mil inscritos), comprometido em 3 de dezembro de 2024 e 5 de janeiro de 2025, que publicou vídeo promovendo uma versão crackeada do Adobe Photoshop para distribuir um instalador MSI que lança o Hijack Loader, propagando o Rhadamanthys.
“A evolução constante dos métodos de distribuição de malware mostra a impressionante adaptabilidade dos agentes de ameaça em contornar defesas tradicionais”, afirmou a Check Point.
“Os adversários estão cada vez mais adotando estratégias sofisticadas baseadas em plataformas, com destaque para a implementação das Ghost Networks.
Essas redes exploram a confiança embutida em contas legítimas e os mecanismos de engajamento das plataformas populares para orquestrar campanhas de malware em larga escala, persistentes e altamente eficazes.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...