 |
| Imagem ilustrativa - Divulgação Check Point Software |
A campanha coordenada utilizou contas falsas e
sequestradas do YouTube como armas para distribuir infostealers como
Rhadamanthys, muitas vezes disfarçados de softwares pirateados e hacks de jogos
A Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, identificou e ajudou a desarticular uma das maiores operações de disseminação de malware já vistas no YouTube. Conhecida como “YouTube Ghost Network” (ou em português “Rede Fantasma do YouTube”), a campanha utilizava contas falsas e comprometidas para espalhar infostealers — como Rhadamanthys e Lumma — disfarçados de softwares pirateados e hacks de jogos.
Após mais de um ano de investigação, a equipe da Check Point Research mapeou milhares de contas interligadas e trabalhou em estreita colaboração com o Google para garantir a remoção de mais de 3 mil vídeos maliciosos. Essa ação permitiu interromper uma rede coordenada que explorava os mecanismos de engajamento da plataforma para criar uma falsa sensação de segurança entre os usuários.
A ação reforça a importância da inteligência proativa de ameaças e da cooperação entre empresas de tecnologia e especialistas em cibersegurança para conter ataques digitais em larga escala.
“Essa
operação explorou sinais de confiança, incluindo visualizações, curtidas e
comentários, para mascarar conteúdo malicioso como se fosse legítimo”, explica
Eli Smadja, gerente do grupo de pesquisa em segurança da Check Point Software.
“O que parecia um simples tutorial era, na verdade, uma armadilha digital
sofisticada. A escala, a modularidade e a sofisticação dessa rede a tornam um
modelo de como os agentes de ameaças agora utilizam ferramentas de engajamento
para disseminar malware.”
Como funcionava a YouTube Ghost Network
A
Ghost Network não era formada por vídeos isolados, mas por um sistema modular
de contas falsas ou sequestradas com funções específicas:
- Contas
de vídeo: publicavam tutoriais falsos com links para supostos softwares
gratuitos;
- Contas
de postagens: divulgavam senhas e novos links nas abas de comunidade;
- Contas
de interação: adicionavam curtidas e elogios falsos nos comentários,
simulando engajamento real.
Esse
modelo permitia que os ataques se mantivessem ativos mesmo após remoções,
dificultando a detecção e tornando o ciclo de infecção persistente.
 |
| Operação da Ghost Network do YouTube |
Entre
os casos mapeados, um canal comprometido com 129 mil inscritos chegou a
publicar um vídeo de uma versão “gratuita” do Adobe Photoshop, alcançando quase
300 mil visualizações e mais de 1 mil curtidas. Outro canal comprometido tinha
como alvo usuários de criptomoedas, direcionando-os a páginas falsas hospedadas
no Google Sites e que continham que malware Rhadamanthys Stealer. Além disso,
os agentes da ameaça atualizavam regularmente links e payloads, permitindo
cadeias de infecção persistentes mesmo após remoções parciais.
 |
| Comentários positivos sobre o vídeo |
Novo vetor de ataque
Os vídeos levavam as vítimas a baixar arquivos supostamente legítimos hospedados em Dropbox, Google Drive ou MediaFire, e as instruíam a desativar temporariamente o Windows Defender antes da instalação. Ao executar o conteúdo, o usuário infectava o próprio sistema com malwares projetados para roubar credenciais, carteiras de criptomoedas e informações do sistema, enviadas para servidores de comando e controle que trocavam de endereço constantemente para evitar rastreamento.
A YouTube Ghost Network evidencia uma mudança estratégica no cibercrime: a exploração da credibilidade social como vetor de ataque. Curtidas, comentários e número de inscritos estão sendo manipulados para criar a aparência de legitimidade, reduzindo a desconfiança do público e ampliando o alcance das ameaças.
“No
cenário atual, um vídeo popular pode ser tão perigoso quanto um e-mail de
phishing”, acrescenta Smadja. “Com a inteligência certa e colaboração entre
setores, conseguimos reagir rapidamente e proteger milhões de usuários.”
Como se proteger
Para
usuários:
- Evite
baixar softwares de fontes não oficiais ou pirateadas.
- Nunca
desative o antivírus por recomendação de um instalador.
- Desconfie
de vídeos com muitas curtidas que oferecem downloads “gratuitos”.
Para
plataformas:
- Reforce
a detecção automática de engajamento suspeito.
- Monitore
grupos de contas que compartilhem URLs semelhantes.
- Estabeleça
parcerias com empresas de cibersegurança para remoção preventiva de
ameaças.
Proteções Check Point Software
As soluções Check Point Threat Emulation e Harmony Endpoint bloqueiam os infostealers Rhadamanthys e Lumma, bem como as cadeias de disseminação utilizadas nesta campanha. Combinadas à inteligência de ameaças da CPR e à cooperação com o setor, essas soluções reduzem o tempo entre a descoberta e a neutralização de ataques.
Se
desejar detalhes técnicos, acesso o portal da Check Point Research.
Check Point Research
Blog
X
Check Point Software Technologies Ltd
Check Point Software via:
X
Blog
YouTube
Aviso legal relativo a declarações prospectivas
Este comunicado de imprensa contém declarações prospectivas. Declarações prospectivas geralmente se referem a eventos futuros ou ao nosso desempenho financeiro ou operacional futuro. As declarações prospectivas neste comunicado incluem, mas não se limitam a, declarações relacionadas às nossas expectativas quanto ao crescimento futuro, à ampliação da liderança da Check Point no setor, à valorização para os acionistas e à entrega de uma plataforma de cibersegurança líder do setor para clientes em todo o mundo. Nossas expectativas e crenças em relação a esses assuntos podem não se concretizar, e os resultados reais ou eventos futuros estão sujeitos a riscos e incertezas que podem fazer com que os resultados ou eventos reais sejam significativamente diferentes dos projetados. As declarações prospectivas contidas neste comunicado também estão sujeitas a outros riscos e incertezas, incluindo aqueles descritos de forma mais completa em nossos arquivos junto à Securities and Exchange Commission (SEC), incluindo nosso Relatório Anual no Formulário 20-F arquivado na SEC em 2 de abril de 2024. As declarações prospectivas contidas neste comunicado são baseadas nas informações disponíveis para a Check Point na data deste documento, e a Check Point se isenta de qualquer obrigação de atualizar qualquer declaração prospectiva, exceto quando exigido por lei.
Nenhum comentário:
Postar um comentário