Recentemente falamos aqui no site sobre o uso do TikTok para espalhar vídeos de “tutoriais” que induzem o usuário e executar comandos maliciosos no computador, lembra?
Pois agora, a coisa subiu de nível. A plataforma da vez é o YouTube, e o golpe é ainda mais bem estruturado: uma rede de mais de 3.000 vídeos vem sendo usada para distribuir malware disfarçado de tutoriais, aproveitando o apelo de jogos como Roblox e programas pirateados como isca.
Essa operação foi batizada de YouTube Ghost Network pelos pesquisadores da Check Point, e mostra como os cibercriminosos estão profissionalizando o uso de plataformas legítimas para espalhar malware com um toque de “normalidade”.
O golpe: conteúdo, engajamento e… malware
Desde 2021, essa rede maliciosa vem publicando vídeos tutoriais aparentemente inofensivos. Eles ensinam a instalar supostos mods de jogos, softwares pirateados ou ferramentas para “melhorar desempenho”.
Na prática, o que o usuário baixa ao clicar nos links é um stealer malware especializado em roubar dados do computador, como senhas, cookies, carteiras de criptomoedas e por aí vai.
Muitos desses vídeos chegam a bater centenas de milhares de visualizações. Estamos falando de vídeos com 293 mil visualizações, muitos com likes, comentários positivos e engajamento real ou simulado. É o cenário perfeito para convencer um usuário desavisado de que o conteúdo é legítimo.
Segundo os analistas, os criminosos abusam do que chamam de “sinais de confiança” curtidas, comentários positivos e até posts na aba “comunidade” do YouTube para criar uma falsa sensação de segurança.
Como a Ghost Network funciona na prática
A estrutura da rede é dividida por papéis, quase como se fosse uma empresa de marketing digital só que do mal:
- Video-accounts: são responsáveis por publicar os vídeos maliciosos com links para download nos comentários, descrição ou dentro da edição do vídeo
- Post-accounts: postam mensagens na aba comunidade com mais links e reforços visuais para atrair vítimas
- Interact-accounts: curtem, comentam e engajam nos vídeos para “dar legitimidade” ao conteúdo e enganar o algoritmo
A maioria dessas contas são perfis legítimos que foram invadidos, alguns deles com milhares de inscritos. Dois exemplos citados pela Check Point:
- O canal @Sound_Writer, com 9.690 inscritos, usado para espalhar o malware Rhadamanthys disfarçado de software de criptomoedas
- O canal @Afonesio1, com mais de 129 mil inscritos, invadido para anunciar uma versão “crackeada” do Adobe Photoshop que, na verdade, instala um malware via MSI
A operação usa MediaFire, Dropbox, Google Drive, Google Sites e até Blogger como intermediários para entregar os arquivos maliciosos. Os links, em muitos casos, são camuflados com encurtadores de URL, dificultando a detecção.
Malware usado: uma prateleira completa de roubo de dados
A Ghost Network não economiza na variedade. Entre os malwares identificados estão:
- Lumma Stealer
- Rhadamanthys Stealer
- RedLine Stealer
- Phemedrone Stealer
- StealC Stealer
- Loaders e downloaders baseados em Node.js
Todos com foco em roubo silencioso de informações, capazes de operar por dias (ou semanas) antes de serem detectados, quando já é tarde demais.
Por que esse golpe é tão eficiente?
Porque ele não depende de phishing explícito nem força bruta. Ele se apoia na confiança natural que as pessoas têm ao ver um vídeo com milhares de visualizações, curtidas e comentários dizendo “funciona mesmo!”.
O usuário quer um software pirata? Um hack para Roblox? Um booster de FPS? Está tudo ali. E o download vem com brinde: um malware com potencial devastador.
O mais assustador? Mesmo quando o YouTube derruba um canal, a operação continua, pois os criminosos criam novas contas ou invadem outras, mantendo a estrutura intacta.
O que podemos aprender com isso
As Ghost Networks vieram para ficar. Elas são modulares, resilientes e exploram a ingenuidade digital com uma eficiência assustadora.
Se antes o perigo era abrir um e-mail estranho, hoje ele está num vídeo que aparece quando você procura “como instalar Photoshop grátis”. E isso vale para qualquer plataforma: YouTube, TikTok, até GitHub já foi usado como vetor de entrega.
Vídeos maliciosos no YouTube
A pergunta que fica não é mais “será que isso é malware?”. Agora, a questão é: quantos vídeos desse tipo você já viu e nem desconfiou?
No fim das contas, a internet se tornou um campo minado onde o like, o view e o comentário não garantem nada e talvez sejam parte do golpe. Você confiaria em qualquer vídeo com 200 mil views ensinando a baixar algo pirata?
