A Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, concordou e ajudou a desarticular uma das maiores transações de disseminação de malware já surgidas no YouTube: conhecida como “YouTube Ghost Network” (ou em português “Rede Fantasma do YouTube”), a campanha utilizou contas falsas e comprometidas para espalhar infostealers — como Rhadamanthys e Lumma —dos de softwares pirateados e hacks de jogos, com links nos comentários. Após mais de um ano de investigação, uma equipe da Check Point Research mapeou milhares de contas interligadas e trabalhou em parceria com o Google para garantir a remoção de mais de 3 mil vídeos maliciosos. Essa ação interrompeu uma rede coordenada que explorava os mecanismos de engajamento da plataforma para criar uma falsa sensação de segurança entre os usuários.
A ação reforça a importância da inteligência proativa de ameaças e da cooperação entre empresas de tecnologia e especialistas em cibersegurança para conter ataques digitais em larga escala.
“Essa operação explorou sinais de confiança, incluindo visualizações, curtidas e comentários, para mascarar conteúdo malicioso como se fosse legítimo”, explica Eli Smadja, gerente do grupo de pesquisa em segurança da Check Point Software. “O que parecia um simples tutorial era, na verdade, uma armadilha digital sofisticada. A escala, a modularidade e a sofisticação dessa rede tornam um modelo de como os agentes de ameaças agora utilizam ferramentas de engajamento para disseminar malware.”
Conteúdo em PT-BR localizado durante as investigações
Como funcionava a YouTube Ghost Network
A Ghost Network não foi formada por vídeos isolados, mas por um sistema modular de contas falsas ou sequestradas com funções específicas:
- Contas de vídeo: publicavam tutoriais falsos com links para supostos softwares gratuitos;
- Contas de postagens: divulgamos senhas e novos links nas abas de comunidade;
- Contas de interação: adicionaram curtidas e elogios falsos nos comentários, simulando engajamento real.
Esse modelo permitia que os ataques se mantivessem ativos mesmo após remoções, dificultando a detecção e tornando o ciclo de infecção persistente. Entre os casos mapeados, um canal comprometido com 129 mil inscritos chegou a publicar um vídeo de uma versão “gratuita” do Adobe Photoshop, alcançando quase 300 mil visualizações e mais de 1 mil curtidas. Outro canal comprometido tinha como alvo usuários de criptomoedas, direcionando-os a páginas falsas hospedadas no Google Sites e que continham o malware Rhadamanthys Stealer. Além disso, os agentes da ameaça atualizavam regularmente links e payloads, permitindo cadeias de infecção persistentes mesmo após remoções parciais.
Novo vetor de ataque
Os vídeos levaram as vítimas a baixar arquivos inteiramente legítimos hospedados no Dropbox, Google Drive ou MediaFire, e como instruções para desativar temporariamente o Windows Defender antes da instalação. Ao executar o conteúdo, o usuário infectava o próprio sistema com malwares projetados para roubar credenciais, carteiras de criptomoedas e informações do sistema, enviadas para servidores de comando e controle que trocavam de endereço constantemente para evitar rastreamento.
A YouTube Ghost Network evidencia uma mudança estratégica no cibercrime: uma exploração da exploração social como vetor de ataque. Curtidas, comentários e número de inscritos estão sendo manipulados para criar a aparência de legitimidade, reduzindo a desconfiança do público e ampliando o alcance das ameaças.
“No cenário atual, um vídeo popular pode ser tão perigoso quanto um e-mail de phishing”, acrescenta Smadja. “Com a inteligência certa e a colaboração entre setores, conseguimos reagir rapidamente e proteger milhões de usuários.”
Como se proteger
Para usuários:
- Evite baixar softwares de fontes não oficiais ou pirateadas.
- Nunca desative ou antivírus por recomendação de um instalador.
- Desconfie de vídeos com muitas curtidas que oferecem downloads “gratuitos”.
Para plataformas:
- Reforce a detecção automática de relacionamentos suspeitos.
- Monitore grupos de contas que compartilham URLs semelhantes.
- Estabeleça parcerias com empresas de cibersegurança para remoção preventiva de ameaças.
