A Check Point Research, área de inteligência sobre ameaças da Check Point Software, contribuiu para desmantelar uma operação de distribuição de malware chamada YouTube Ghost Network (Rede Fantasma do YouTube), que usava contas falsas para espalhar vírus e acumulou milhares de vídeos maliciosos no YouTube.
A ação foi coordenada com o Google, responsável pelo YouTube, e resultou na remoção de mais de 3 mil vídeos identificados na investigação.
A Check Point Research investigou a YouTube Ghost Network por mais de um ano. Segundo a organização, a operação, de alcance global, não consistia em vídeos isolados, mas em uma estrutura modular formada por contas falsas ou comprometidas com papéis distintos.
Essas contas cumpriam funções específicas:
- Contas de vídeo, que publicavam tutoriais falsos com links para supostos softwares gratuitos.
- Contas de postagens, que divulgavam senhas e novos links nas abas de comunidade.
- Contas de interação, que inseriam curtidas e elogios falsos nos comentários para simular engajamento autêntico.
Essa arquitetura permitia que a operação continuasse ativa mesmo diante de remoções, complicando a detecção e a neutralização da rede.
Um dos exemplos catalogados pela CPR envolvia um canal com 129 mil inscritos que publicou um vídeo oferecendo uma versão “gratuita” do Adobe Photoshop; o material alcançou 300 mil visualizações e mais de mil curtidas. Outro canal, voltado a investidores em criptomoedas, direcionava usuários a páginas falsas contendo malware.
Em ambos os casos, os vídeos encaminhavam as vítimas para downloads de arquivos supostamente legítimos hospedados em Dropbox, Google Drive ou MediaFire, instruindo-as a desativar programas antivírus para prosseguir com a instalação. Assim, os próprios usuários acabavam contaminando seus sistemas com malwares destinados a roubar credenciais, carteiras de criptomoedas e dados do sistema.
Os dados exfiltrados eram enviados a servidores que mudavam de endereço com frequência para dificultar o rastreamento.
Mais de 3 mil vídeos foram removidos
A empresa informou que, em colaboração com o Google, retirou do ar mais de 3 mil vídeos maliciosos no YouTube, medida que ajudou a desarticular a operação.
Segundo Eli Smadja, gerente do grupo de pesquisa em segurança da Check Point Software, a rede valia-se de mecanismos de engajamento, como comentários e curtidas, para propagar malwares, configurando uma “armadilha digital sofisticada”. Esse tipo de interação artificial dá aparência de legitimidade aos vídeos, reduzindo a desconfiança do público e ampliando o alcance das ameaças.
Como se proteger contra malwares no YouTube?
A Check Point recomenda evitar downloads de fontes não oficiais ou piratas e nunca desativar o antivírus durante a instalação de um software. Também aconselha desconfiar de vídeos que prometem downloads gratuitos.
As plataformas, por sua vez, devem monitorar padrões de engajamento suspeitos e vigiar grupos de contas que compartilhem URLs semelhantes.
