A Google eliminou milhares de vídeos do YouTube que estavam a ser utilizados para distribuir malware capaz de roubar palavras-passe, disfarçado de software pirateado e batotas para jogos. Investigadores da Check Point revelam que a chamada "YouTube Ghost Network" (Rede Fantasma do YouTube) sequestrava e utilizava contas legítimas da plataforma para publicar vídeos tutoriais que prometiam cópias gratuitas de programas como o Photoshop e o FL Studio, ou truques para jogos como o Roblox. No entanto, o objetivo era levar os utilizadores a instalar infostealers (ladrões de informação) como o Rhadamanthys e o Lumma.
A campanha, ativa desde 2021, registou um aumento exponencial em 2025, com o número de vídeos maliciosos a triplicar em comparação com os anos anteriores. Mais de 3.000 vídeos foram agora removidos da plataforma, após uma colaboração entre a Check Point e a Google para desmantelar o que é descrito como uma das maiores operações de distribuição de malware alguma vez vistas no YouTube.
Como funcionava a "YouTube Ghost Network"?
Os investigadores explicam que a "Rede Fantasma" dependia de milhares de contas falsas e comprometidas que trabalhavam em conjunto para fazer o conteúdo malicioso parecer legítimo. Um grupo de contas publicava os vídeos "tutoriais", enquanto outro inundava as secções de comentários com elogios, gostos e emojis para criar uma falsa sensação de confiança. Um terceiro grupo era responsável por partilhar publicações na comunidade com os links para download e as palavras-passe do suposto software pirateado.
"Esta operação aproveitou-se de sinais de confiança, como visualizações, gostos e comentários, para fazer o conteúdo malicioso parecer seguro", afirmou Eli Smadja, gestor do grupo de investigação de segurança da Check Point. "O que parece um tutorial útil pode, na verdade, ser uma armadilha cibernética bem polida. A escala, modularidade e sofisticação desta rede tornam-na um modelo de como os atores de ameaças agora utilizam ferramentas de interação para espalhar malware."
O isco: software pirata e batotas para jogos populares
Uma vez captadas, as vítimas eram instruídas a desativar o software antivírus e a descarregar um ficheiro alojado em serviços como o Dropbox, Google Drive ou MediaFire. Dentro do arquivo encontrava-se o malware em vez do programa prometido. Após a sua execução, os infostealers extraíam credenciais, carteiras de criptomoedas e dados do sistema para servidores de comando e controlo remotos.
Um dos canais sequestrados, com 129.000 subscritores, publicou um vídeo de uma versão pirata do Adobe Photoshop que acumulou quase 300.000 visualizações e mais de 1.000 gostos. Embora o software pirata fosse um grande atrativo, o principal isco eram as batotas para jogos, especialmente para o Roblox, que conta com cerca de 380 milhões de jogadores ativos mensais.
Uma operação sofisticada e resiliente
À medida que a Check Point investigava a rede, descobriu que os operadores trocavam frequentemente os payloads (cargas maliciosas) e atualizavam os links de download para evitar as remoções, criando um ecossistema resiliente que se regenerava rapidamente mesmo quando as contas eram banidas. O design modular da rede, com diferentes grupos de contas para cada tarefa, permitiu que as campanhas persistissem durante anos.
A Check Point refere que esta abordagem é semelhante a uma operação separada que apelidaram de "Stargazers Ghost Network" na plataforma GitHub, onde contas falsas de programadores alojam repositórios maliciosos. Embora os responsáveis pela rede no YouTube pareçam ser cibercriminosos motivados pelo lucro, os especialistas alertam que a tática pode ser adotada por grupos ligados a estados-nação para visar alvos de alto valor.
O aumento acentuado de atividade em 2025 marca uma mudança na forma como o malware é distribuído. Se antes os e-mails de phishing e os downloads automáticos dominavam, os atacantes exploram agora a credibilidade social de plataformas populares para contornar o ceticismo dos utilizadores. "No panorama de ameaças atual, um vídeo com aparência popular pode ser tão perigoso como um e-mail de phishing", concluiu Smadja.
Nenhum comentário
Seja o primeiro!