Uma investigação da Check Point revelou uma operação batizada de YouTube Ghost Network, responsável por inserir mais de 3 mil vídeos maliciosos na plataforma desde 2021. Segundo a empresa de segurança, o número de publicações desse tipo triplicou desde o início de 2025.
Os cibercriminosos utilizam contas comprometidas para substituir o conteúdo original por tutoriais falsos sobre softwares pirateados ou trapaças para o jogo Roblox. Ao clicar nos links divulgados nos vídeos, na descrição, em comentários fixados ou em posts da comunidade, a vítima é direcionada a serviços como MediaFire, Dropbox, Google Drive, Google Sites, Blogger ou Telegraph, onde ocorre o download de programas que roubam dados.
Estrutura em três frentes
A Ghost Network opera com um modelo baseado em funções:
- Video-accounts: fazem upload dos vídeos e divulgam os endereços para download.
- Post-accounts: publicam mensagens na aba Comunidade com links externos.
- Interact-accounts: curtem e comentam para aumentar a sensação de legitimidade.
De acordo com o pesquisador Antonis Terefos, essa divisão facilita a continuidade do esquema, pois contas banidas podem ser trocadas rapidamente sem afetar a operação.
Alcance e tipos de malware
Alguns vídeos da rede alcançaram de 147 mil a 293 mil visualizações. Entre as famílias de código malicioso distribuídas estão Lumma Stealer, Rhadamanthys Stealer, StealC, RedLine Stealer, Phemedrone Stealer e carregadores baseados em Node.js.
Dois canais exemplificam a estratégia:
Imagem: Internet
- @Sound_Writer (9.690 inscritos) – invadido há mais de um ano para divulgar suposto software de criptomoedas que instala o Rhadamanthys.
- @Afonesio1 (129 mil inscritos) – comprometido em 3 de dezembro de 2024 e 5 de janeiro de 2025 para oferecer uma versão “crackeada” do Adobe Photoshop; o instalador MSI entrega o Hijack Loader, que por sua vez baixa o Rhadamanthys.
Resposta da plataforma
O Google informou que removeu a maior parte dos conteúdos identificados. Ainda assim, a Check Point adverte que a combinação de métricas legítimas de engajamento — visualizações, curtidas e comentários — com contas aparentemente confiáveis torna esses golpes especialmente eficazes.
Para Eli Smadja, gerente de pesquisa da Check Point, “o que parece um tutorial útil pode ser, na verdade, uma armadilha sofisticada”. A empresa alerta que criminosos estão migrando para táticas cada vez mais complexas, explorando a confiança depositada em grandes plataformas para disseminar malware em larga escala.
Com informações de The Hacker News
