Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Rede Fantasma do YouTube

Rede Fantasma do YouTube

Por Mezo em Malware
Traduzir Para:

Um grupo de contas maliciosas do YouTube vem explorando a popularidade da plataforma para disseminar malware para usuários desavisados. Ao imitar tutoriais legítimos e conteúdo de cracking de software e se basear em métricas de engajamento, esses agentes transformam o que parecem ser vídeos úteis em vetores de infecção.

Uma operação crescente e de longa duração

Ativa desde 2021, a campanha — agora chamada de YouTube Ghost Network por pesquisadores de segurança — já publicou mais de 3.000 vídeos maliciosos. O volume disparou este ano, quase triplicando, o que forçou o Google a remover a maior parte do material ofensivo. Apesar das remoções, a escala e o design modular da operação permitem que ela se regenere rapidamente.

Como funciona o esquema: a confiança como arma

Os invasores sequestram canais legítimos ou criam novos e substituem ou publicam vídeos que anunciam aplicativos piratas, cheats para jogos (principalmente cheats para Roblox) ou softwares crackeados. Esses vídeos costumam aparecer como tutoriais bem elaborados e usam sinais visíveis de confiança, altas contagens de visualizações, curtidas e comentários positivos para convencer os espectadores de que o conteúdo é seguro. Muitos vídeos infectados acumularam centenas de milhares de visualizações (intervalos relatados: ~147 mil a 293 mil), tornando a isca especialmente eficaz.

Uma infraestrutura resiliente e baseada em funções

A força da rede vem de sua estrutura baseada em funções: contas comprometidas recebem tarefas operacionais específicas para que a campanha possa continuar mesmo quando contas individuais são banidas. Essa arquitetura ajuda a manter a continuidade e dificulta a remediação.

Os tipos de contas observadas incluem:

Contas de vídeo : envie vídeos de isca e coloque links para download em descrições, comentários fixados ou incorporados no vídeo passo a passo.

Contas de postagem : publique postagens ou mensagens da comunidade com links para páginas externas.

Contas do Interact : adicione curtidas e comentários encorajadores para criar prova social e legitimidade.

Cadeia de entrega: para onde os elos levam

Links clicáveis em descrições de vídeos, comentários e postagens redirecionam os espectadores para serviços de hospedagem de arquivos (MediaFire, Dropbox, Google Drive) ou para páginas de phishing/landing hospedadas em plataformas gratuitas (Google Sites, Blogger, Telegraph). Frequentemente, esses destinos usam encurtadores de URL para ocultar o alvo final, que muitas vezes direciona para páginas adicionais que, por fim, entregam instaladores ou carregadores.

Famílias e carregadores de malware observados

Os pesquisadores vincularam a rede a várias famílias de roubo de informações e carregadores e downloaders baseados em Node.js, como:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, além de vários carregadores Node.js.

Exemplos concretos de abuso

Um canal chamado @Sound_Writer (aproximadamente 9.690 inscritos) foi comprometido por mais de um ano e usado para hospedar vídeos relacionados a criptomoedas que implantavam o Rhadamanthys.

O canal chamado @Afonesio1 (cerca de 129.000 inscritos) foi sequestrado em 3 de dezembro de 2024 e novamente em 5 de janeiro de 2025 para postar um vídeo oferecendo um Adobe Photoshop crackeado; o MSI distribuído entregou o Hijack Loader, que por sua vez instalou o Rhadamanthys.

Por que as redes fantasmas funcionam tão bem

Essas campanhas têm sucesso porque redirecionam as próprias ferramentas de engajamento da plataforma para sinalizar legitimidade. A configuração baseada em funções permite a rápida substituição de contas e baixa rotatividade operacional, de modo que, mesmo quando os proprietários da plataforma removem conteúdo, a campanha como um todo sobrevive. As Redes Fantasmas são um exemplo claro de como os agentes de ameaças se adaptam, transformando em armas os sinais sociais e os recursos da plataforma.

Uma tendência maior: plataformas como canais de entrega

O YouTube não é o único a sofrer abusos — invasores há muito tempo usam contas sequestradas ou recém-criadas para postar conteúdo em estilo tutorial que direciona as vítimas para links maliciosos. Outros serviços legítimos e redes de anúncios (mecanismos de busca, hosts de arquivos, sites de hospedagem de código como o GitHub) também foram vítimas de abusos como parte de cadeias de distribuição distribuídas (por exemplo, o modelo relacionado Stargazers Ghost Network).

O que as equipes de segurança e os usuários devem fazer

Medidas práticas para reduzir riscos:

  • Considere softwares "crackeados" não solicitados e downloads fraudulentos como de alto risco; prefira sites de fornecedores e lojas oficiais.
  • Verifique links fora da plataforma antes de fazer o download; evite seguir URLs encurtadas sem verificar seu destino.
  • Fortaleça a detecção de famílias de ladrões e carregadores Node.js nos níveis de rede e endpoint; monitore comportamentos suspeitos de download de hosters de arquivos comuns.
  • Eduque os usuários para que desconfiem de sinais de prova social (visualizações, curtidas, comentários) quando eles acompanham downloads de software.
  • Corrija canais comprometidos verificando uploads incomuns e girando credenciais, e imponha autenticação multifator para criadores.

Nota de Encerramento

A Rede Fantasma do YouTube ilustra a fluência dos invasores modernos em combinar engenharia social com mecanismos de plataforma. Como a operação explora sinais de confiança e uma estrutura de conta modular, os defensores devem combinar educação do usuário, vigilância da plataforma e controles técnicos para interromper a cadeia de distribuição e reduzir a superfície de ameaça.

Tendendo

Mais visto

Carregando...