A ESET, fornecedora de soluções de segurança, descobriu uma nova campanha de distribuição de vírus através de vídeos do YouTube. Os cibercriminosos estão atacando contas do Google para criar canais na plataforma de vídeo e, depois, publicar conteúdos em massa que incluem um link para um suposto download de software relacionado ao vídeo. No entanto, o link leva ao download de Trojans que se escondem no computador da vítima para roubar credenciais.
LEIA MAIS: Empresa de cibersegurança define 2021 como “o ano do ransomware”
A empresa explica que tudo começa com o roubo de contas do Google, que são utilizadas para a criação dos canais. A estratégia já rendeu milhares de canais que carregaram um grande número de vídeos como parte desta campanha, segundo a ESET. Em apenas 20 minutos, foram criados 81 canais com 100 vídeos, disse um pesquisador do Cluster25, grupo de inteligência de ciberameaças, ao portal BleepingComputer (BC).
Conforme explica a ESET, dois vírus estão sendo distribuídos de forma separada, a depender dos vídeos do YouTube: RedLine Stealer e Racoon Stealer. Os dois Trojans são parecidos e permanecem escondidos no computador infectado em busca de todos os tipos de senhas. Eles ainda procuram dados bancários armazenados no navegador, cookies e capturas de tela. O autor de um ataque do tipo seria capaz até de realizar ações por meio de comandos remotos.
No caso da RedLine em particular, um relatório recente revelou que a maioria das credenciais roubadas atualmente vendidas em mercados da dark web, como chaves de login para navegadores da web, clientes FTP, aplicativos de e-mail ou VPNs, para citar alguns, foram coletados usando este malware.
Vídeos exploram temas de tecnologia
Os cibercriminosos estão utilizando temas relacionados à tecnologia, principalmente tutoriais sobre mineração de criptomoedas, cracks e licenças de software, cheats para videogames, entre muitos outros tópicos. Geralmente, esses vídeos falam sobre como realizar uma tarefa por meio de uma ferramenta, que os visitantes podem baixar no link que está disponível na descrição do vídeo.
Os usuários podem encontrar dois tipos de links. No caso de vídeos distribuídos pelo Trojan RedLine, o link geralmente vem de um encurtador (como o bit.ly), que redireciona o usuário para um site de download de arquivo que hospeda o malware. No caso de vídeos distribuídos pelo Racoon Stealer, os links geralmente não são encurtados e redirecionam para um domínio chamado “taplink” que hospeda o código malicioso.
O Google aponta que verificou campanhas semelhantes pela primeira vez em 2019. Na época, o alvo eram youtubers, que foram vítimas de malware para roubar cookies. Os Trojans já citados também foram usados na ocasião.
A ESET recomenda que, para se proteger de vírus escondidos nas descrições de vídeos no YouTube, é importante que os usuários da conta do Google revisem a segurança de suas senhas e criem hábitos saudáveis em termos de gerenciamento de senhas. Ou seja, criar senhas fortes e exclusivas, usar um gerenciador de senhas para salvá-las e alterá-las de tempos em tempos. Além disso, implementar a autenticação em duas etapas no Google. Por fim e também fundamental: use uma solução antivírus para evitar o download de malware em cada um dos dispositivos utilizados.
Série Round 6 também é usada para espalhar golpes
Além do YouTube, outro alvo recente de ciberataques foi a série da Netflix Round 6. De acordo com a Avast, cibercriminosos estão usando aplicativos de dispositivos móveis para aproveitar a popularidade da série e espalhar vírus. A empresa de cibersegurança encontrou um app de papel de parede da série que incluía adware e registrava as pessoas para um SMS premium na Google Play Store. Ou seja, além de aparecer anúncios intrusivos no celular do usuário, ele ainda acabava assinando serviços que não queria.
Este aplicativo, que já foi retirado, é apenas um exemplo. Também foi encontrado outro app para Android sobre o Round 6, usado para espalhar SpyMax, uma ferramenta de acesso remoto projetada para espionar as vítimas
Recentemente, a Polícia Nacional Espanhola também alertou as pessoas sobre cartões físicos em circulação, que se pareciam com cartões da série, incluindo um código QR. Os policiais alertaram que o código QR, incluído nesses cartões, poderia levar a sites maliciosos.
A Avast alerta que, dentre outras maneiras pelas quais os cibercriminosos podem abusar da tendência de popularidade da série é estar alegando oferecer streams online gratuitos, que podem conter malware ou anúncios maliciosos, ou ainda anúncios de games online falsos baseados nos jogos da série.
