Hackers Usam Canal Verificado no YouTube para Espalhar Malware: Entenda o Golpe e Como se Proteger

 

Pesquisadores de segurança da Bitdefender identificaram uma campanha hacker persistente desde 2024 que vem se sofisticando e ampliando suas estratégias de ataque. Inicialmente, a fraude ocorreu por meio de anúncios no Facebook Ads, prometendo acesso gratuito à versão premium da plataforma de trading TradingView, muito popular entre investidores. Recentemente, os hackers migraram suas ações para o YouTube e Google Ads, elevando o nível do golpe.

Como Funciona o Golpe?

Os criminosos conseguiram invadir a conta de anunciante da Google de uma agência de design na Noruega, usando esse acesso para criar um canal no YouTube falso, porém com o selo de verificação recurso que reforça a credibilidade da página para os usuários. Todo o conteúdo original do canal foi excluído e substituído por uma identidade visual que imitava a TradingView, incluindo logos, banners, e até playlists do canal oficial, embora com vídeos não listados, dificultando a detecção.

Um vídeo em destaque, intitulado “Trading View Premium Grátis Método Secreto Que Eles Não Querem Que Você Saiba”, acumulou mais de 182 mil visualizações por meio de campanhas agressivas de publicidade. Apesar de o vídeo mostrar apenas informações legítimas sobre o aplicativo, a descrição continha um link que direcionava para o download de um arquivo executável malicioso.

Tecnologia e Sofisticação do Malware

O vírus evoluiu consideravelmente para evitar ser detectado por antivírus e mecanismos de segurança. Atualmente, ele utiliza um arquivo grande de aproximadamente 700 MB para liberar o malware, o que ajuda a burlar sistemas automáticos de análise. Além disso, verifica se está rodando em ambiente de máquina virtual ou protegido, selecionando apenas alvos válidos.

O malware usa websockets para ofuscar o código e dificulta o monitoramento do tráfego por parte das defesas digitais. Também emprega bibliotecas externas como StreamSaver.js para efetuar a entrega do vírus e utiliza ferramentas de monitoramento e publicidade, como PostHog e plataformas do Google, Microsoft e Adprofex para maximizar seu alcance.

Uma novidade preocupante é o uso da tarefa “EdgeResourcesInstallerV12-issg” no sistema Windows, que cria exceções no Windows Defender para evitar que o malware seja detectado. O vírus, identificado como Trojan.Agent.GOSL (ou JSCEAL e WeevilProxy), tem múltiplas capacidades: captura de telas, registro de teclas digitadas e roubo de arquivos sensíveis, incluindo carteiras de criptomoedas.

Impactos e Alcance do Ataque

Até o momento, os hackers mantêm uma infraestrutura complexa com cerca de 500 domínios vinculados ao golpe, produzindo variantes do malware para Windows, macOS e Android. Os ataques acontecem em vários idiomas, com foco em inglês, vietnamita e tailandês, o que reforça a ideia de uma rede global.

Como se Proteger

Para evitar ser vítima dessa ou de outras fraudes semelhantes, siga estas recomendações:

Verifique o @ do canal no YouTube, o número de inscritos e se o vídeo está listado ou não. Desconfie de canais novos com poucos seguidores que estejam usando selos de verificação suspeitos.

Nunca faça download de softwares por meio de links compartilhados em publicidades ou descrições de vídeos; sempre utilize o site oficial da plataforma.

Caso encontre conteúdos suspeitos, reporte imediatamente ao YouTube e Google Ads para que as equipes possam agir rapidamente.

Mantenha seu sistema operacional e antivírus sempre atualizados para detectar ameaças mais recentes.

A vigilância e o cuidado ainda são as melhores defesas contra ataques cada vez mais sofisticados que utilizam canais legítimos para enganar usuários.