O roubo de contas no YouTube, principalmente de criadores de conteúdo, tornou-se tão comum quanto perigoso. O objetivo dos cibercriminosos é, depois de conseguirem invadir a conta, usá-la para propagar malware do tipo infostealer.

A seguir, descreveremos as estratégias usadas por cibercriminosos para assumir o controle dessas contas, quais são as consequências para as vítimas e quais medidas você deve tomar caso sua conta tenha sido comprometida.

Como os cibercriminosos roubam uma conta do YouTube?

O principal vetor de ataque são os e-mails de phishing. Os atacantes enviam um e-mail no qual enganam o criador de conteúdo com algum tipo de acordo - eles propõem patrocinar ou promover a conta - e anexam um suposto arquivo do DropBox com os detalhes das condições comerciais.

Esse arquivo conterá um malware do tipo infostealer que permitirá que o invasor obtenha as credenciais de login da conta visada (e até mesmo a autenticação em dois fatores, por exemplo).

roban-cuentas-youtube-distribuir-malware.phishing
Imagem 1. Exemplo de um e-mail de phishing enviado a um criador de conteúdo. Fonte: The PC Security Channel.

Esse ladrão de informações inclui um script que excluirá os cookies do computador e forçará o usuário a digitar novamente as credenciais de login da conta, e nesse momento ele enviará as informações ao cibercriminoso.

Com as credenciais da conta em sua posse, os cibercriminosos usam a conta para distribuir malware, geralmente compartilhando conteúdo que não tem nada a ver com a conta original e excluindo todo o material antigo.

Para a vítima, as consequências podem variar desde o fechamento do canal, a desmonetização de seus vídeos e até mesmo a perda de seguidores. Sim, um impacto financeiro muito grande que também pode ser acompanhado pela perda de credibilidade/confiança no canal.

Canais do YouTube que foram atacados

Infelizmente, há muitos casos de contas que foram atacadas usando esse modus operandi. Tanto que o AhnLab Security Intelligence Centre (ASEC) descobriu um número crescente (e preocupante) de casos em que os cibercriminosos acessam as credenciais de canais famosos do YouTube e as exploram para distribuir malware do tipo infostealer, como o Vidar e o LummaC2.

Em cada um dos casos compartilhados pela ASEC, a mesma prática dos atacantes é evidente: adicionar um link de download (comprometido, é claro) na descrição ou na seção de comentários de um vídeo sobre a versão crackeada de um software como o Adobe.

roban-cuentas-youtube-distribuir-malware-enlace
Imagem 2. Compilação de links maliciosos incluídos na descrição e/ou nos comentários de vídeos do YouTube. Fonte: ASEC.

Os cibercriminosos também exploram os canais do YouTube que promovem jogos crackeados: neles, os atacantes usam links nas descrições dos vídeos que, na verdade, levam as vítimas a sites que

Leia mais: Por que os influencers digitais são um alvo interessante para os cibercriminosos?

Atacar contas do YouTube para propagar ameaças digitais não é algo novo, já que essa plataforma é frequentemente utilizada para distribuir malware por meio de downloads de software, filmes, tutoriais, conteúdo vinculado a criptomoedas, fraudes de jogos ou aplicativos.

Anteriormente, analisamos esse problema no WeLiveSecurity, compartilhando campanhas que roubam contas do Google e, em apenas alguns minutos, criam um grande número de canais do YouTube para distribuir trojans, como o RedLine Stealer e o Racoon Stealer.

A complexidade dessa situação é que esses tipos de malware permanecem ocultos no computador infectado, procurando todos os tipos de senhas e informações bancárias armazenadas no navegador, mas também têm o potencial de executar outras ações no computador, como fazer screenshots.

Em 2023, o WeLiveSecurity cobriu um caso em que um usuário foi vítima de um infostealer ao clicar em um link malicioso publicado em um canal comprometido.

A pessoa havia baixado um crack de um programa popular da suíte Adobe do YouTube e foi infectada por um malware que acessou suas contas do Instagram, Facebook, Twitter, Hotmail, Twitch e Steam.

malware-youtube-crack-after-effects
Imagem 3. Vídeo do YouTube oferece crack que baixa o trojan RedLine.

 

Embora algumas dessas contas comprometidas tivessem postagens feitas pelo malware em seu nome, as senhas de login não haviam sido alteradas, de modo que a vítima nunca perdeu o acesso e conseguiu rapidamente alterar as senhas e ativar a autenticação em duas etapas.

Que medidas você deve tomar se sua conta for invadida?

Sabendo que o roubo de contas do YouTube é uma prática cada vez mais comum, a equipe de suporte do Google compartilhou uma publicação descrevendo quais sinais podem alertá-lo sobre uma conta atacada e quais medidas tomar caso seja mais uma vítima.

Veja a seguir o que o Google sugere caso a conta de um usuário tenha sido roubada.

A primeira etapa é recuperar a conta do Google comprometida associada ao canal do YouTube, atualizar a senha e ativar a autenticação em dois fatores.

Em seguida, é hora de reverter todas as alterações indesejadas que o cibercriminoso possa ter feito no canal do YouTube. Isso é fundamental para evitar violações de direitos autorais ou das Diretrizes da comunidade.

Nos casos em que o canal foi encerrado após a invasão da conta, assim que a conta do Google for recuperada, você receberá um e-mail com detalhes sobre como recorrer do encerramento de um canal.

Além disso, para aqueles que pertencem ao Programa de parceiros do YouTube, o Google oferece uma equipe de suporte dedicada aos criadores de conteúdo na plataforma.