A ESET analisa uma nova campanha que visa distribuir malware através do YouTube. Agora, os cibercriminosos estão comprometendo as contas do Google para criar canais nesta plataforma e fazer upload de vídeos em massa que incluem um link para um suposto download de software relacionado ao vídeo. No entanto, o link leva ao download de Trojans que se escondem no computador da vítima para roubar credenciais.
Tudo começa com o roubo de contas do Google e, em seguida, a criação dos canais e o upload dos vídeos. Desta forma, os cibercriminosos já criaram milhares de canais e carregaram um grande número de vídeos como parte desta campanha. Em apenas 20 minutos, foram criados 81 canais com 100 vídeos, explicou um pesquisador do Cluster25 à BleepingComputer (BC). Há dois malwares sendo distribuídos: RedLine Stealer e Racoon Stealer, embora não através dos mesmos vídeos ou links.
“Este tipo de Trojan permanece furtivo no computador infectado em busca de todos os tipos de senhas, bem como dados bancários armazenados no navegador, cookies, capturas de tela e até mesmo outras ações que o operador da ameaça pode realizar por meio de comandos remotos”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
No caso da RedLine em particular, um relatório recente revelou que a maioria das credenciais roubadas atualmente vendidas em mercados da dark web, como chaves de login para navegadores da web, clientes FTP, aplicativos de e-mail ou VPNs, para citar alguns, foram coletados usando este malware.
Os vídeos são sobre tutoriais, mineração de criptomoedas, cracks e licenças de software, cheats para videogames, entre muitos outros tópicos. Geralmente, esses vídeos falam sobre como realizar uma tarefa por meio de uma ferramenta, que os visitantes podem baixar no link que está disponível na descrição do vídeo.
Os usuários podem encontrar dois tipos de links. No caso de vídeos distribuídos pelo Trojan RedLine, o link geralmente vem de um encurtador, como bit.ly, que redireciona o usuário para um site de download de arquivo que hospeda o malware. No caso de vídeos distribuídos pelo Racoon Stealer, os links geralmente não são encurtados e redirecionam para um domínio chamado “taplink” que hospeda o código malicioso.
O Google revelou detalhes sobre uma campanha semelhante que detectou atividade pela primeira vez em 2019 e que visa criadores de vídeos do YouTube com malware para roubar cookies; incluindo Redline Stealer e Racoon Stealer, entre outros. Nesse caso, a campanha consiste em e-mails de phishing enviados aos criadores das contas do YouTube que se fazem passar por empresas existentes para negociar uma colaboração publicitária.
Depois de convencer as vítimas por meio de engenharia social, os invasores levam as vítimas a um site que se apresenta como um download de software usando links do Google Drive, PDF ou Google Doc contendo links maliciosos.
A ESET recomenda que, para se proteger desse tipo de ameaça, é importante que os usuários da conta do Google revisem a segurança de suas senhas e criem hábitos saudáveis em termos de gerenciamento de senhas. Ou seja, crie senhas fortes e exclusivas, use um gerenciador de senhas para salvá-las e alterá-las de tempos em tempos.
