A Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, identificou e ajudou a desarticular uma das maiores operações de disseminação de malware já registradas no YouTube. Conhecida como YouTube Ghost Network, a campanha utilizava contas falsas e comprometidas para espalhar infostealers como Rhadamanthys e Lumma, muitas vezes disfarçados de softwares pirateados e hacks de jogos.
Após mais de um ano de investigação, a equipe mapeou milhares de contas interligadas e trabalhou junto ao Google para remover mais de 3 mil vídeos maliciosos. A ação interrompeu uma rede que explorava os mecanismos de engajamento da plataforma para criar falsa sensação de segurança entre os usuários.
Inteligência de ameaças e cooperação
A operação evidencia a importância da inteligência proativa de ameaças e da colaboração entre empresas de tecnologia e especialistas em cibersegurança para conter ataques digitais em larga escala. Eli Smadja, gerente do grupo de pesquisa em segurança da Check Point Software, explicou que a operação explorou sinais de confiança, incluindo visualizações, curtidas e comentários, para mascarar conteúdo malicioso como se fosse legítimo. “O que parecia um simples tutorial era, na verdade, uma armadilha digital sofisticada. A escala, a modularidade e a sofisticação dessa rede a tornam um modelo de como os agentes de ameaças agora utilizam ferramentas de engajamento para disseminar malware”, disse ele.
Como funcionava a YouTube Ghost Network
A Ghost Network não consistia em vídeos isolados, mas em um sistema modular de contas falsas ou sequestradas com funções específicas. Algumas contas publicavam tutoriais falsos com links para supostos softwares gratuitos, enquanto outras divulgavam senhas e novos links nas abas de comunidade e outras ainda adicionavam curtidas e elogios falsos nos comentários, simulando engajamento real. Esse modelo permitia que os ataques permanecessem ativos mesmo após remoções, dificultando a detecção e mantendo ciclos de infecção persistentes.
Entre os casos identificados, um canal com 129 mil inscritos publicou um vídeo de uma versão “gratuita” do Adobe Photoshop, alcançando quase 300 mil visualizações e mais de mil curtidas. Outro canal direcionava usuários de criptomoedas para páginas falsas com o malware Rhadamanthys Stealer. Os agentes atualizavam regularmente links e arquivos maliciosos, garantindo cadeias de infecção mesmo após remoções parciais. Os vídeos levavam vítimas a baixar arquivos hospedados em serviços como Dropbox, Google Drive ou MediaFire, e instruíam a desativar temporariamente o Windows Defender antes da instalação. Ao executar os arquivos, o sistema era infectado, permitindo roubo de credenciais, carteiras de criptomoedas e dados do sistema, enviados para servidores que alteravam endereços constantemente para evitar rastreamento.
Nova estratégia do cibercrime
A YouTube Ghost Network evidencia a exploração da credibilidade social como vetor de ataque, já que curtidas, comentários e número de inscritos eram manipulados para criar aparência de legitimidade, reduzindo a desconfiança e ampliando o alcance das ameaças. Smadja ressaltou que no cenário atual, um vídeo popular pode ser tão perigoso quanto um e-mail de phishing, e que com a inteligência certa e a colaboração entre setores foi possível reagir rapidamente e proteger milhões de usuários.
Recomendações de segurança
A Check Point recomenda que usuários evitem baixar softwares de fontes não oficiais ou pirateadas, nunca desativem o antivírus por recomendação de um instalador e desconfiem de vídeos com muitas curtidas que oferecem downloads gratuitos. Para plataformas, é importante reforçar a detecção automática de engajamento suspeito, monitorar grupos de contas que compartilhem URLs semelhantes e estabelecer parcerias com empresas de cibersegurança para remoção preventiva de ameaças.
