A Check Point Research (CPR), unidade de inteligência de ameaças da Check Point® Software Technologies Ltd., descobriu e ajudou a desmantelar uma operação de distribuição de malware que utilizava o YouTube como principal canal de infeção. A operação, batizada de “YouTube Ghost Network”, explorava contas falsas e comprometidas para disseminar infostealers como Rhadamanthys e Lumma, através de vídeos de tutoriais e software gratuito aparentemente inofensivos.
“Esta investigação revela como os cibercriminosos estão a transformar as plataformas sociais mais populares em redes globais de infeção digital”, afirma Rui Duro, Country Manager Portugal da Check Point Research. “A manipulação da confiança e da credibilidade online está a tornar-se uma das armas mais poderosas do cibercrime moderno.”
Uma das maiores campanhas de malware alguma vez vistas no YouTube
A CPR identificou mais de 3.000 vídeos maliciosos, que foram removidos após notificação direta à Google, interrompendo uma das campanhas de malware mais extensas registadas na plataforma. A operação recorria a software pirateado ou cheats de jogos, como Adobe Photoshop, FL Studio, Microsoft Office ou Roblox, para induzir os utilizadores a descarregar ficheiros protegidos por palavra-passe que continham malware.
Os canais comprometidos, alguns com mais de 100.000 subscritores, eram utilizados para publicar vídeos com instruções de instalação e links maliciosos, partilhar comentários falsos para gerar legitimidade e interagir entre si com “likes” e respostas positivas, criando uma falsa sensação de segurança. Esta estrutura modular permitia à rede escalar rapidamente e resistir a suspensões, dificultando a sua eliminação.
Infostealers visam credenciais e dados financeiros
Após a execução dos ficheiros, os infostealers roubavam credenciais, carteiras de criptomoedas e dados do sistema, enviando-os para servidores controlados pelos atacantes, frequentemente alterados para evitar deteção. Entre os casos analisados, destacam-se:
Um canal com 129.000 subscritores que publicou um falso instalador de Adobe Photoshop, alcançando 291.000 visualizações e mais de 1.000 likes;
Um canal que direcionava utilizadores para páginas falsas no Google Sites associadas ao Rhadamanthys Stealer.
Colaboração garante remoção do conteúdo malicioso
Após mais de um ano de investigação, a CPR mapeou milhares de contas interligadas e trabalhou em estreita colaboração com a Google para garantir a remoção de todo o conteúdo identificado. “Esta operação demonstra como a cooperação entre equipas de segurança e plataformas tecnológicas é essencial para proteger os utilizadores”, reforça Rui Duro. “Graças a esta colaboração, milhões de potenciais vítimas foram protegidas.”
Credibilidade digital como vetor de ataque
O caso da YouTube Ghost Network evidencia uma tendência preocupante: os cibercriminosos transformam a confiança e interação nas plataformas em vetor de ataque. Likes, comentários e partilhas são usados para criar campanhas de aparência legítima, muitas vezes mais eficazes do que o phishing tradicional.
Recomendações para utilizadores e plataformas
Para se proteger, os utilizadores devem evitar descarregar software de fontes não oficiais, nunca desativar antivírus e desconfiar de vídeos com promessas de software gratuito com muitos “likes”. Por sua vez, as plataformas devem reforçar a deteção automática de padrões suspeitos, identificar clusters de contas interligadas e colaborar com fornecedores de cibersegurança para remoção proativa de ameaças.
As soluções Check Point Threat Emulation e Harmony Endpoint oferecem proteção contra infostealers como Rhadamanthys e Lumma e contra as cadeias de infeção identificadas nesta campanha, reduzindo o tempo entre deteção e mitigação e reforçando a segurança de utilizadores e organizações.
