Uma nova campanha busca distribuir malware através do YouTube. Desta vez, os cibercriminosos estão atacando contas do Google para criar canais na plataforma e fazer upload de vídeos de forma massiva com um link para o suposto download de um software relacionado com os vídeos. No entanto, o link leva ao download de trojans que se escondem no computador da vítima para roubar seus dados de acesso.
As campanhas encontradas estão propagando dois malwares: o RedLine Stealer e o Racoon Stealer, embora não através dos mesmos vídeos ou links. Tudo começa com o sequestro de contas do Google e, em seguida, a criação de canais e o upload de vídeos. Os cibercriminosos já criaram milhares de canais e carregaram um grande número de vídeos como parte dessa campanha. Em apenas 20 minutos, foram criados 81 canais com 100 vídeos, explicou um pesquisador da Cluster25 ao portal BleepingComputer.
Esses tipos de trojans se escondem no computador infectado em busca de todos os tipos de senhas, bem como dados bancários armazenados no navegador, cookies, capturas de tela e até mesmo para possibilitar outras ações que possam ser realizadas pelo operador da ameaça por meio de comandos enviados de forma remota. No caso do RedLine em particular, um relatório recente revelou que a maioria dos dados de acesso roubados e atualmente vendidos em mercados da dark web, como dados de login para navegadores da web, clientes FTP, aplicativos de e-mail ou VPNs, para citar alguns, foram coletados através desse malware.
Os vídeos são sobre tutoriais, criptomoedas, mineração de criptomoedas, cracks, licenças de software, trapaças em videogames, e outras categorias populares no YouTube. Geralmente, esses vídeos destacam como realizar uma tarefa por meio de uma ferramenta que tem o link para download disponibilizado na descrição do vídeo.
Os usuários podem encontrar dois tipos de links. No caso de vídeos distribuídos pelo trojan RedLine, o link geralmente vem de um encurtador, como o bit.ly, que redireciona o usuário para um site de download de arquivo que hospeda o malware. No caso de vídeos distribuídos pelo Racoon Stealer, os links geralmente não são encurtados e redirecionam para um domínio chamado “taplink” que hospeda o código malicioso.
O Google confirmou ao portal BleepingComputer que está ciente dessa campanha e que estão tomando medidas para bloquear essa atividade. Na semana passada, o Google revelou detalhes sobre uma campanha semelhante detectada pela primeira vez em 2019 e que tem como alvo os criadores de vídeos no YouTube com malwares para roubar cookies. Entre eles estão o Redline Stealer e o Racoon Stealer. Nesse caso, a campanha consistiu em e-mails de phishing enviados aos criadores de contas no YouTube que se faziam passar por empresas existentes para negociar uma colaboração publicitária. Depois de convencer as vítimas por meio de engenharia social, os cibercriminosos redirecionavam os usuários para um site que se apresentava como um download de software usando documentos do Google Drive, PDF ou Google Doc que continham links maliciosos.
Para se proteger contra esses tipos de ameaças, é importante que os usuários de contas do Google revisem a segurança de suas senhas e criem boas práticas em termos de gerenciamento de senhas. Ou seja, criar senhas fortes e exclusivas, usar um gerenciador de senhas para salvá-las e alterá-las periodicamente. Além disso, implementar a autenticação em duas etapas no Google. Por fim e também fundamental: contar com uma solução antivírus para evitar o download de malware em cada um dos dispositivos usados.