Vídeos falsos no YouTube distribuíam malwares camuflados como software e jogos piratas

Pesquisadores da Check Point Research revelaram em 23 de outubro de 2025 a existência de uma operação de larga escala que utilizava vídeos falsos no YouTube para disseminar códigos maliciosos. Batizada de YouTube Ghost Network, a campanha estava em atividade desde 2021 e empregava milhares de tutoriais fraudulentos com o objetivo de roubar credenciais e outros dados sensíveis de quem buscava versões pirateadas de softwares ou truques para jogos.

Dimensão da operação e público-alvo

A investigação identificou mais de 3 mil vídeos que formavam o núcleo da rede ilícita. Todos os conteúdos eram hospedados em contas comprometidas na plataforma do Google, o que aumentava a credibilidade aparente e reduzia a chance de detecção imediata. O material audiovisual mirava principalmente usuários que procuram economizar dinheiro baixando programas populares sem licenciamento ou que desejam vantagens indevidas em jogos.

Nesse universo estão, por exemplo, profissionais ou estudantes em busca de suítes de produtividade como Microsoft Office, designers interessados em editores de imagem de alto custo, músicos amadores que precisam de estações de trabalho de áudio digital ou jogadores que desejam benefícios não autorizados em títulos online. O apelo do “gratuito” foi o gatilho psicológico explorado para impulsionar o número de vítimas.

Estratégia de engenharia social

Cada vídeo seguia um formato de tutorial, ensinando passo a passo a suposta instalação de um “crack” ou “versão desbloqueada”. A produção incluía narração convincente, interface de programa simulada e, muitas vezes, comentários positivos falsificados abaixo do conteúdo, reforçando a ilusão de legitimidade. Essa combinação de elementos visuais e textuais foi fundamental para convencer o espectador a prosseguir.

O roteiro padrão continha quatro etapas principais:

1) Apresentação do software ou jogo cobiçado, normalmente associado a preços elevados.
2) Demonstração de que o arquivo “gratuito” estaria armazenado em serviços de nuvem confiáveis, como Google Drive ou Dropbox.
3) Orientação para desativar antivírus ou proteções nativas do sistema operacional, justificando a ação como necessária para evitar “falsos positivos”.
4) Instruções de instalação, que culminavam na execução do arquivo malicioso.

Principais iscas utilizadas

Entre os programas mais citados nos vídeos estavam:

• Microsoft Office: pacote de produtividade amplamente utilizado em ambiente corporativo e acadêmico.
• Adobe Photoshop: editor de imagens de referência no mercado de criação gráfica.
• FL Studio: estação de trabalho de áudio digital popular entre produtores musicais.
• Jogos como Roblox: plataforma com grande base de usuários jovens, onde truques para progredir rapidamente são muito buscados.

Além desses, o relatório aponta menções a outros softwares de nicho específico, sempre escolhidos pelo alto valor comercial ou pela forte demanda em comunidades de compartilhamento.

O que acontecia após o download

O arquivo entregue não continha o programa prometido, mas sim um malware preparado para iniciar a coleta de informações assim que o usuário concluísse a instalação. Como o antivírus estava desabilitado por orientação do próprio vídeo, a etapa de infecção ocorria sem obstáculos. A partir desse ponto, o computador ficava suscetível ao roubo de senhas, dados bancários, cookies de sessão e outros elementos críticos.

Famílias de malware detectadas

Os pesquisadores mapearam diversas amostras distribuídas pela Ghost Network. Entre elas, destacam-se:

Lumma: reconhecido stealer especializado em extrair credenciais de navegador, carteiras de criptomoedas e informações armazenadas em gerenciadores de senhas.
Rhadamanthys: ferramenta modular que amplia funcionalidades após instalação, permitindo desde registro de teclas até controle remoto.
StealC: variante que se concentra em dados de navegadores Chromium e Firefox, além de arquivos de carteiras digitais.
RedLine: malware consolidado no mercado clandestino, capaz de exfiltrar dados para servidores de comando e controle e modificar configurações de sistema.

Cada família possui características distintas, mas o objetivo comum é a monetização rápida das informações obtidas, seja por venda em fóruns, seja por uso direto em fraudes financeiras.

Como o conteúdo enganoso permaneceu ativo

O uso de contas reais comprometidas foi um fator decisivo para prolongar a atuação da campanha. Ao controlar perfis legítimos, os criminosos se beneficiaram de um histórico de reputação que adiava a identificação automática de comportamento suspeito. Além disso, o upload constante de novos vídeos criava um mecanismo de reposição: mesmo que alguns fossem removidos por denúncias de usuários ou detecção de políticas da plataforma, outros surgiam em seguida, mantendo o volume de iscas sempre alto.

Medidas adotadas pela plataforma

Assim que a operação foi reportada, o YouTube removeu o conjunto de vídeos associados ao esquema. No entanto, a própria Check Point Research ressalta que algumas instâncias podem ter permanecido online ou serem reintroduzidas sob novos títulos e contas. A natureza dinâmica do serviço de hospedagem dificulta a eliminação completa, exigindo vigilância contínua.

Recomendações de segurança para o usuário

Embora assistir aos vídeos não provoque infecção direta, clicar nos links de download externos representa risco imediato. Por isso, os especialistas orientam:

• Priorizar fontes oficiais e lojas legítimas para baixar software.
• Manter o antivírus ativo e atualizado; desativá-lo compromete a primeira camada de defesa.
• Desconfiar de ofertas que prometem versões completas gratuitas de programas normalmente pagos.
• Verificar comentários e data de publicação, lembrando que feedbacks podem ser manipulados.
• Caso perceba sintomas de invasão – lentidão, janelas suspeitas, solicitações atípicas de senha – realizar varredura completa e remover ameaças detectadas.

Impacto potencial do roubo de credenciais

Senhas obtidas por esse tipo de malware podem ser aproveitadas em golpes de phishing, invasão de contas de e-mail, redes sociais e serviços bancários. A prática conhecida como “credential stuffing” explora a reutilização de senhas em múltiplos sites, aumentando o alcance do dano. A perda de acesso a carteiras de criptomoedas ou plataformas de comércio eletrônico também figura entre as consequências possíveis.

O papel dos serviços de nuvem no esquema

Armazenar os instaladores infectados em Google Drive ou Dropbox teve dois efeitos positivos para os atacantes: transmitiu falsa sensação de legitimidade, já que o link estava vinculado a provedores conceituados, e contornou filtros de e-mail que bloqueiam anexos executáveis. A política de uso desses serviços determina a remoção de arquivos maliciosos quando identificados, mas o volume de uploads diários torna difícil uma filtragem preventiva absoluta.

Persistência da ameaça

Mesmo com a remoção massiva de vídeos, a Ghost Network serve de exemplo de como campanhas de malware podem se sustentar por anos, atualizando táticas e substituindo conteúdos excluídos. O modelo de negócio baseado em roubo de dados continua lucrativo no submundo digital, garantindo motivação para futuros ressurgimentos com abordagem semelhante.

Cenário de cibersegurança no consumo de mídia

A popularidade de plataformas de vídeo amplia a superfície de ataque para agentes mal-intencionados. Tutoriais de software, guias de jogos e avaliações de produtos estão entre os formatos mais acessados e, por isso, tornam-se veículos convenientes para campanhas de engenharia social. A detecção preventiva depende tanto da inteligência das ferramentas de segurança quanto da atenção individual de quem consome o conteúdo.