Hackers transformam canal verificado no YouTube em armadilha para distribuir vírus

há 1 semana 18

Pesquisadores de segurança da Bitdefender identificaram uma sofisticada campanha maliciosa que utiliza um canal verificado no YouTube para distribuir malware. Os hackers invadiram a conta de uma agência de design norueguesa e transformaram completamente a identidade visual do canal para imitar a plataforma de trading TradingView, aproveitando-se do selo de verificação para conferir legitimidade ao golpe.

Esta operação criminosa vem evoluindo desde o início de 2024, quando os invasores começaram a utilizar anúncios no Facebook prometendo acesso gratuito à versão premium do TradingView. Agora, os ataques se expandiram para o YouTube e Google Ads, onde os criminosos veiculam publicidade falsa utilizando contas comprometidas de anunciantes legítimos.

O esquema fraudulento é meticulosamente planejado. Após invadirem o canal, os hackers deletaram todo o conteúdo original e o substituíram com elementos visuais idênticos aos do TradingView, incluindo logos e banners. Curiosamente, eles mantiveram as playlists do canal original, mas sem disponibilizar vídeos públicos próprios.

Smartphone mostrando na tela a página do aplicativo YouTube na loja de apps com avaliação e botão abrir

O principal vetor de ataque é um vídeo não-listado intitulado “Trading View Premium Grátis — Método Secreto Que Eles Não Querem Que Você Saiba”, que já acumulou mais de 182 mil visualizações através de campanhas publicitárias agressivas. O vídeo em si apenas mostra funcionalidades do TradingView, mas a armadilha está na descrição, que contém um link para download de malware.

A estratégia de utilizar vídeos não-listados é particularmente eficaz, pois estes não aparecem em buscas orgânicas e dificilmente são reportados por usuários ou identificados pelos sistemas de moderação do YouTube. Especialistas acreditam que o comprometimento inicial do canal provavelmente ocorreu através de um e-mail de phishing enviado para algum membro da equipe da agência.

Sofisticação técnica do malware

A análise da Bitdefender revelou que o malware utilizado nesta campanha passou por significativas evoluções técnicas. Os atacantes agora utilizam arquivos de 700 MB para baixar o vírus, um tamanho propositalmente grande para evitar análises automatizadas de segurança.

Vídeo no YouTube com tema cyberpunk mostrando interface do TradingView Desktop em visual neon

O software malicioso também incorpora mecanismos avançados de detecção, sendo capaz de identificar máquinas virtuais e outras ferramentas de segurança. Caso o sistema da vítima apresente tais características de proteção, o malware redireciona o usuário para uma página inofensiva, evitando assim a detecção.

Tecnicamente, o malware evoluiu de simples requisições HTTP para utilizar websockets, além de empregar técnicas de ofuscação de código para dificultar a análise por soluções antivírus. Para a entrega do payload final, os atacantes utilizam o script StreamSaver.js hospedado em “https://jimmywarting.github.io/StreamSaver.js”, complementado por ferramentas como PostHog e diversas plataformas publicitárias para atingir suas vítimas.

O malware final, identificado como Trojan.Agent.GOSL (também conhecido como JSCEAL ou WeevilProxy), possui capacidades extensivas de espionagem. Ele pode capturar telas, registrar toques de teclado e roubar dados sensíveis, incluindo carteiras de criptomoedas. Os pesquisadores identificaram aproximadamente 500 domínios associados à infraestrutura dos criminosos, com variantes do malware para macOS e Android.

Como se proteger desta ameaça

Para evitar cair neste tipo de golpe, os usuários devem adotar algumas práticas essenciais de segurança. Ao interagir com anúncios no YouTube, é fundamental verificar a autenticidade do canal observando seu nome de usuário (@), número de inscritos e a disponibilidade pública dos vídeos.

Especialistas recomendam sempre baixar softwares exclusivamente dos sites oficiais dos desenvolvedores, nunca através de links fornecidos em anúncios ou por terceiros. Qualquer atividade suspeita deve ser imediatamente reportada às plataformas envolvidas, como YouTube e Google Ads.

É importante notar que estes ataques têm alcance global e foram observados em múltiplos idiomas, principalmente inglês, vietnamita e tailandês, indicando uma operação de grande escala e sofisticação.

Fonte: BitDefender Labs