⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Foi observada uma rede maliciosa de contas do YouTube publicando e promovendo vídeos que levam a downloads de malware, essencialmente abusando da popularidade e da confiança associadas à plataforma de hospedagem de vídeos para propagar cargas maliciosas.
Ativa desde 2021, a rede publicou mais de 3.000 vídeos maliciosos até o momento, e o volume desses vídeos triplicou desde o início do ano. Recebeu o codinome YouTube Ghost Network da Check Point. Desde então, o Google interveio para remover a maioria desses vídeos.
A campanha aproveita contas hackeadas e substitui seu conteúdo por vídeos “maliciosos” centrados em software pirata e cheats de jogos Roblox para infectar usuários desavisados que os procuram com malware ladrão. Alguns desses vídeos acumularam centenas de milhares de visualizações, variando de 147 mil a 293 mil.
“Esta operação aproveitou sinais de confiança, incluindo visualizações, curtidas e comentários, para fazer com que o conteúdo malicioso parecesse seguro”, disse Eli Smadja, gerente do grupo de pesquisa de segurança da Check Point. “O que parece ser um tutorial útil pode na verdade ser uma armadilha cibernética refinada. A escala, modularidade e sofisticação desta rede fazem dela um modelo de como os agentes de ameaças agora transformam ferramentas de engajamento em armas para espalhar malware.”
O uso do YouTube para distribuição de malware não é um fenômeno novo. Durante anos, foram observados agentes de ameaças sequestrando canais legítimos ou usando contas recém-criadas para publicar vídeos em estilo tutorial com descrições apontando para links maliciosos que, quando clicados, levam a malware.
Esses ataques fazem parte de uma tendência mais ampla em que os invasores redirecionam plataformas legítimas para fins nefastos, transformando-as em uma via eficaz para distribuição de malware. Embora algumas das campanhas tenham abusado de redes de publicidade legítimas, como as associadas a motores de busca como o Google ou o Bing, outras capitalizaram o GitHub como veículo de distribuição, como é o caso da Stargazers Ghost Network.
Uma das principais razões pelas quais a Ghost Networks descolou em grande escala é que podem não só ser utilizadas para amplificar a legitimidade percebida dos links partilhados, mas também manter a continuidade operacional mesmo quando as contas são banidas ou retiradas pelos proprietários da plataforma, graças à sua estrutura baseada em funções.
“Essas contas aproveitam vários recursos da plataforma, como vídeos, descrições, postagens (um recurso menos conhecido do YouTube, semelhante às postagens do Facebook) e comentários para promover conteúdo malicioso e distribuir malware, ao mesmo tempo que criam uma falsa sensação de confiança”, disse o pesquisador de segurança Antonis Terefos.
“A maior parte da rede consiste em contas comprometidas do YouTube, que, uma vez adicionadas, recebem funções operacionais específicas. Essa estrutura baseada em funções permite uma distribuição mais furtiva, já que contas banidas podem ser rapidamente substituídas sem interromper a operação geral”.
Existem tipos específicos de contas -
Contas de vídeo, que enviam vídeos de phishing e fornecem descrições contendo links para baixar o software anunciado (como alternativa, os links são compartilhados como um comentário fixado ou fornecidos diretamente no vídeo como parte do processo de instalação)
Pós-contas, responsáveis por publicar mensagens da comunidade e postagens contendo links para sites externos
Contas do Interact, que curtem e postam comentários encorajadores para dar aos vídeos uma aparência de confiança e credibilidade
Os links direcionam os usuários para uma ampla gama de serviços como MediaFire, Dropbox ou Google Drive, ou páginas de phishing hospedadas no Google Sites, Blogger e Telegraph que, por sua vez, incorporam links para baixar o suposto software. Em muitos desses casos, os links são ocultados por meio de encurtadores de URL para mascarar o verdadeiro destino.
Algumas das famílias de malware distribuídas pela YouTube Ghost Network incluem Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer e outros carregadores e downloaders baseados em Node.js -
Um canal chamado @Sound_Writer (9.690 assinantes), que foi comprometido por mais de um ano para enviar vídeos de software de criptomoeda para implantar Rhadamanthys
Um canal chamado @Afonesio1 (129.000 assinantes), que foi comprometido em 3 de dezembro de 2024 e 5 de janeiro de 2025, para enviar um vídeo anunciando uma versão crackeada do Adobe Photoshop para distribuir um instalador MSI que implanta o Hijack Loader, que então entrega Rhadamanthys
“A evolução contínua dos métodos de distribuição de malware demonstra a notável adaptabilidade e desenvoltura dos agentes de ameaças em contornar as defesas de segurança convencionais”, afirmou a Check Point. “Os adversários estão cada vez mais migrando para estratégias mais sofisticadas e baseadas em plataformas, principalmente a implantação de Redes Fantasma”.
"Essas redes aproveitam a confiança inerente às contas legítimas e ao mecanismo de engajamento
Ativa desde 2021, a rede publicou mais de 3.000 vídeos maliciosos até o momento, e o volume desses vídeos triplicou desde o início do ano. Recebeu o codinome YouTube Ghost Network da Check Point. Desde então, o Google interveio para remover a maioria desses vídeos.
A campanha aproveita contas hackeadas e substitui seu conteúdo por vídeos “maliciosos” centrados em software pirata e cheats de jogos Roblox para infectar usuários desavisados que os procuram com malware ladrão. Alguns desses vídeos acumularam centenas de milhares de visualizações, variando de 147 mil a 293 mil.
“Esta operação aproveitou sinais de confiança, incluindo visualizações, curtidas e comentários, para fazer com que o conteúdo malicioso parecesse seguro”, disse Eli Smadja, gerente do grupo de pesquisa de segurança da Check Point. “O que parece ser um tutorial útil pode na verdade ser uma armadilha cibernética refinada. A escala, modularidade e sofisticação desta rede fazem dela um modelo de como os agentes de ameaças agora transformam ferramentas de engajamento em armas para espalhar malware.”
O uso do YouTube para distribuição de malware não é um fenômeno novo. Durante anos, foram observados agentes de ameaças sequestrando canais legítimos ou usando contas recém-criadas para publicar vídeos em estilo tutorial com descrições apontando para links maliciosos que, quando clicados, levam a malware.
Esses ataques fazem parte de uma tendência mais ampla em que os invasores redirecionam plataformas legítimas para fins nefastos, transformando-as em uma via eficaz para distribuição de malware. Embora algumas das campanhas tenham abusado de redes de publicidade legítimas, como as associadas a motores de busca como o Google ou o Bing, outras capitalizaram o GitHub como veículo de distribuição, como é o caso da Stargazers Ghost Network.
Uma das principais razões pelas quais a Ghost Networks descolou em grande escala é que podem não só ser utilizadas para amplificar a legitimidade percebida dos links partilhados, mas também manter a continuidade operacional mesmo quando as contas são banidas ou retiradas pelos proprietários da plataforma, graças à sua estrutura baseada em funções.
“Essas contas aproveitam vários recursos da plataforma, como vídeos, descrições, postagens (um recurso menos conhecido do YouTube, semelhante às postagens do Facebook) e comentários para promover conteúdo malicioso e distribuir malware, ao mesmo tempo que criam uma falsa sensação de confiança”, disse o pesquisador de segurança Antonis Terefos.
“A maior parte da rede consiste em contas comprometidas do YouTube, que, uma vez adicionadas, recebem funções operacionais específicas. Essa estrutura baseada em funções permite uma distribuição mais furtiva, já que contas banidas podem ser rapidamente substituídas sem interromper a operação geral”.
Existem tipos específicos de contas -
Contas de vídeo, que enviam vídeos de phishing e fornecem descrições contendo links para baixar o software anunciado (como alternativa, os links são compartilhados como um comentário fixado ou fornecidos diretamente no vídeo como parte do processo de instalação)
Pós-contas, responsáveis por publicar mensagens da comunidade e postagens contendo links para sites externos
Contas do Interact, que curtem e postam comentários encorajadores para dar aos vídeos uma aparência de confiança e credibilidade
Os links direcionam os usuários para uma ampla gama de serviços como MediaFire, Dropbox ou Google Drive, ou páginas de phishing hospedadas no Google Sites, Blogger e Telegraph que, por sua vez, incorporam links para baixar o suposto software. Em muitos desses casos, os links são ocultados por meio de encurtadores de URL para mascarar o verdadeiro destino.
Algumas das famílias de malware distribuídas pela YouTube Ghost Network incluem Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer e outros carregadores e downloaders baseados em Node.js -
Um canal chamado @Sound_Writer (9.690 assinantes), que foi comprometido por mais de um ano para enviar vídeos de software de criptomoeda para implantar Rhadamanthys
Um canal chamado @Afonesio1 (129.000 assinantes), que foi comprometido em 3 de dezembro de 2024 e 5 de janeiro de 2025, para enviar um vídeo anunciando uma versão crackeada do Adobe Photoshop para distribuir um instalador MSI que implanta o Hijack Loader, que então entrega Rhadamanthys
“A evolução contínua dos métodos de distribuição de malware demonstra a notável adaptabilidade e desenvoltura dos agentes de ameaças em contornar as defesas de segurança convencionais”, afirmou a Check Point. “Os adversários estão cada vez mais migrando para estratégias mais sofisticadas e baseadas em plataformas, principalmente a implantação de Redes Fantasma”.
"Essas redes aproveitam a confiança inerente às contas legítimas e ao mecanismo de engajamento
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #3.000 #vídeos #do #youtube #expostos #como #armadilhas #de #malware #em #operação #massiva #de #rede #fantasma
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário