A Check Point Research (CPR) identificou e ajudou a desarticular uma das maiores operações de disseminação de malware já vistas no YouTube. Conhecida como “YouTube Ghost Network” (ou em português “Rede Fantasma do YouTube”), segundo os especialistas, a campanha utilizava contas falsas e comprometidas para espalhar infostealers, como Rhadamanthys e Lumma, disfarçados de softwares pirateados e hacks de jogos.
Após mais de um ano de investigação, a equipe da CPR mapeou milhares de contas interligadas e trabalhou em estreita colaboração com o Google para garantir a remoção de mais de 3 mil vídeos maliciosos. Essa ação permitiu interromper uma rede coordenada que explorava os mecanismos de engajamento da plataforma para criar uma falsa sensação de segurança entre os usuários.
Segundo os pesquisadores, a ação reforça a importância da inteligência proativa de ameaças e da cooperação entre empresas de tecnologia e especialistas em cibersegurança para conter ataques digitais em larga escala.
“Essa operação explorou sinais de confiança, incluindo visualizações, curtidas e comentários, para mascarar conteúdo malicioso como se fosse legítimo”, explica Eli Smadja, gerente do grupo de pesquisa em segurança da Check Point Software. “O que parecia um simples tutorial era, na verdade, uma armadilha digital sofisticada. A escala, a modularidade e a sofisticação dessa rede a tornam um modelo de como os agentes de ameaças agora utilizam ferramentas de engajamento para disseminar malware.”
De acordo com o relatório, a Ghost Network não era formada por vídeos isolados, mas por um sistema modular de contas falsas ou sequestradas com funções específicas como: Contas de vídeo, publicavam tutoriais falsos com links para supostos softwares gratuitos; Contas de postagens, que divulgavam senhas e novos links nas abas de comunidade.
E ainda as contas de interação, que adicionavam curtidas e elogios falsos nos comentários, simulando engajamento real. A pesquisa afirmou que esse modelo permitia que os ataques se mantivessem ativos mesmo após remoções, dificultando a detecção e tornando o ciclo de infecção persistente.
