A Check Point Software destaca que a campanha coordenada utilizou contas falsas e sequestradas do YouTube como armas
A Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, identificou e ajudou a desarticular uma das maiores operações de disseminação de malware já vistas no YouTube. Conhecida como “YouTube Ghost Network” (ou em português “Rede Fantasma do YouTube”), a campanha utilizava contas falsas e comprometidas para espalhar infostealers — como Rhadamanthys e Lumma — disfarçados de softwares pirateados e hacks de jogos.
Após mais de um ano de investigação, a equipe da Check Point Research mapeou milhares de contas interligadas e trabalhou em estreita colaboração com o Google para garantir a remoção de mais de 3 mil vídeos maliciosos. Essa ação permitiu interromper uma rede coordenada que explorava os mecanismos de engajamento da plataforma para criar uma falsa sensação de segurança entre os usuários.
A ação reforça a importância da inteligência proativa de ameaças e da cooperação entre empresas de tecnologia e especialistas em cibersegurança para conter ataques digitais em larga escala.
“Essa operação explorou sinais de confiança, incluindo visualizações, curtidas e comentários, para mascarar conteúdo malicioso como se fosse legítimo”, explica Eli Smadja, gerente do grupo de pesquisa em segurança da Check Point Software. “O que parecia um simples tutorial era, na verdade, uma armadilha digital sofisticada. A escala, a modularidade e a sofisticação dessa rede a tornam um modelo de como os agentes de ameaças agora utilizam ferramentas de engajamento para disseminar malware.”
Como funcionava a YouTube Ghost Network
A Ghost Network não era formada por vídeos isolados, mas por um sistema modular de contas falsas ou sequestradas com funções específicas:
- Contas de vídeo: publicavam tutoriais falsos com links para supostos softwares gratuitos;
- Contas de postagens: divulgavam senhas e novos links nas abas de comunidade;
- Contas de interação: adicionavam curtidas e elogios falsos nos comentários, simulando engajamento real.
Esse modelo permitia que os ataques se mantivessem ativos mesmo após remoções, dificultando a detecção e tornando o ciclo de infecção persistente.
Entre os casos mapeados, um canal comprometido com 129 mil inscritos chegou a publicar um vídeo de uma versão “gratuita” do Adobe Photoshop, alcançando quase 300 mil visualizações e mais de 1 mil curtidas. Outro canal comprometido tinha como alvo usuários de criptomoedas, direcionando-os a páginas falsas hospedadas no Google Sites e que continham que malware Rhadamanthys Stealer. Além disso, os agentes da ameaça atualizavam regularmente links e payloads, permitindo cadeias de infecção persistentes mesmo após remoções parciais.
Novo vetor de ataque
Os vídeos levavam as vítimas a baixar arquivos supostamente legítimos hospedados em Dropbox, Google Drive ou MediaFire, e as instruíam a desativar temporariamente o Windows Defender antes da instalação. Ao executar o conteúdo, o usuário infectava o próprio sistema com malwares projetados para roubar credenciais, carteiras de criptomoedas e informações do sistema, enviadas para servidores de comando e controle que trocavam de endereço constantemente para evitar rastreamento.
A YouTube Ghost Network evidencia uma mudança estratégica no cibercrime: a exploração da credibilidade social como vetor de ataque. Curtidas, comentários e número de inscritos estão sendo manipulados para criar a aparência de legitimidade, reduzindo a desconfiança do público e ampliando o alcance das ameaças.
“No cenário atual, um vídeo popular pode ser tão perigoso quanto um e-mail de phishing”, acrescenta Smadja. “Com a inteligência certa e colaboração entre setores, conseguimos reagir rapidamente e proteger milhões de usuários.”
Como se proteger
Para usuários:
- Evite baixar softwares de fontes não oficiais ou pirateadas.
- Nunca desative o antivírus por recomendação de um instalador.
- Desconfie de vídeos com muitas curtidas que oferecem downloads “gratuitos”.
Para plataformas:
- Reforce a detecção automática de engajamento suspeito.
- Monitore grupos de contas que compartilhem URLs semelhantes.
- Estabeleça parcerias com empresas de cibersegurança para remoção preventiva de ameaças.
Proteções Check Point Software
As soluções Check Point Threat Emulation e Harmony Endpoint bloqueiam os infostealers Rhadamanthys e Lumma, bem como as cadeias de disseminação utilizadas nesta campanha. Combinadas à inteligência de ameaças da CPR e à cooperação com o setor, essas soluções reduzem o tempo entre a descoberta e a neutralização de ataques.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd é protagonista na proteção da confiança digital (digital trust), utilizando soluções de segurança cibernética com tecnologia de IA para proteger mais de 100.000 organizações em todo o mundo. Por meio de sua Plataforma Infinity e de um ecossistema aberto, a abordagem de prevenção em primeiro lugar da Check Point Software oferece eficácia de segurança líder do setor, reduzindo riscos.
IA, Deepfakes e Bots disparam fraudes digitais e o brasil é o segundo país mais visado por ataques
Laboratório da Febraban abre hoje inscrição para 2º curso gratuito de cibersegurança do ano
Ciberataques elevam custo global do crime digital em 2025, revela estudo da NTT DATA
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
