O Google detalhou alguns dos ataques hackers feitos a canais no YouTube com o uso de malwares que roubam senhas e cookies das vítimas. Segundo a empresa, esses hackers usavam engenharia social para aplicar golpes de phishing, e o serviço era feito em troca de 25% a 70% da receita obtidas em lives de criptomoedas — foi o caso do canal Loop Infinito.
Hackers promovem criptomoedas e vendem canais
Uma nota do Grupo de Análise de Ameaças do Google divulgada na quarta-feira (20) explicou sobre a onda de ataques hackers contra canais do YouTube.
Alguns brasileiros já foram alvo dessas invasões: o canal Loop Infinito, que mais de 1 milhão de inscritos, foi hackeado no mês passado. Nesse caso, a conta que invadiu a página era do Turcomenistão. Sob controle da conta Google ligada ao canal, o hacker promoveu lives divulgando a criptomoeda ethereum. O mesmo aconteceu com o canal de YouTube e Twitter do DJ Alok, por onde o invasor promoveu uma transmissão ao vivo com NFTs.
De acordo com o Google, a divulgação de criptomoedas pelos invasores é uma tendência nos ataques aos youtubers. Quando não há a promoção de moedas digitais, o canal corre o risco de ser vendido em um leilão paralelo realizado pelo invasor.
Maioria dos hackers era recrutada em fórum russo
A maioria dos invasores recrutados para roubar canais do YouTube vêm de um fórum russo na internet. A principal tática usada é atrair a vítima para uma suposta colaboração em seu canal — como oportunidades de patrocínio — e, então, o hacker sequestra a página do youtuber.
A maioria oferece parcerias para os youtubers testarem anti-virus, VPNs, tocadores de música, softwares de edição de foto ou jogos online.
À medida que a maioria dos softwares do Google foram podando a ação dos hackers, os invasores foram utilizando-se cada vez mais de táticas de engenharia social: são landing pages ou contas de redes sociais usadas para infectar o computador da vítima com o malware. Além disso, os golpistas também recorrem a táticas mais convencionais, como o phishing por e-mail.
O Google identificou cerca de 1.011 domínios criados para espalhar malwares para youtubers. Aproximadamente 15 mil contas foram criadas para a campanha de golpes de phishing via e-mail, com links para arquivos de Google Drive e PDF.
Golpistas migraram para WhatsApp e Telegram, diz Google
Como o Google detecta e marca e-mails com links suspeitos de phishing, a empresa conta que os hacker migraram para mensageiros privados para continuar a aplicar os golpes, como WhatsApp, Telegram or Discord.
Sobre os malwares usados pelos hackers para invadir canais do YouTube, o Google conta que cada ferramenta rouba os cookies dos navegadores das vítimas. Em seguida, o histórico de navegação é baixado pelo invasor. O problema da maioria desses malwares é que eles são executados silenciosamente, sem que o usuário saiba.
"A maioria dos malwares era capaz de roubar tanto a senha quanto os cookies. Algumas amostras tinha táticas de anti-sandboxing, incluindo mega arquivos, anexos criptografados e máscaras de IP", disse Ashley Shen, engenheira do Google.
À maioria dos hackers era prometida uma recompensa de 25% a 70% da receita obtida pela venda do canal ou com live de criptomoedas.
Segundo o Google, a venda de canais de YouTube sequestrados poderia render um lucro de até US$ 4 mil. Para canais menores, a compra poderia render apenas US$ 30. Quanto maior o número de inscritos do canal, maior o preço.
Além de compartilhar as informações com o público, a empresa afirma ter encaminhado o relatório com o FBI para uma investigação adicional sobre o tema.