O roubo de contas do YouTube, principalmente de criadores de conteúdo, tornou-se prática frequente e perigosa. O objetivo dos cibercriminosos é hackeá-las e, logo depois, usá-las para distribuir malware do tipo infostealer. A ESET, empresa de detecção proativa de ameaças, analisa as estratégias que os atores mal-intencionados usam para assumir o controle dessas contas, quais são as consequências para as vítimas e quais etapas seguir se uma conta for comprometida.

>>>Clique aqui para mais notícias de cibersegurança

“Hackear contas do YouTube não é algo novo, sendo atividade utilizada para distribuir malware por meio de downloads de software, filmes, tutoriais, conteúdo vinculado a criptomoedas, cheats para jogos ou aplicativos. Anteriormente, este problema foi analisado no WeLiveSecurity, compartilhando campanhas que roubam contas do Google e em apenas alguns minutos criam um grande número de canais no YouTube para distribuir Trojans”, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.

E-mails de phishing

O principal vetor de invasão das contas são e-mails de phishing. Os ciberataques enviam um e-mail falso para o criador do conteúdo com algum tipo de acordo, como propostas de patrocínio ou promoção, com suposto arquivo DropBox com detalhes das condições comerciais em anexo. Esse arquivo contém malware do tipo infostealer (ladrão de informações) que permitirá ao invasor obter as credenciais de acesso da conta alvo, e até mesmo da autenticação de dois fatores (2FA).

O infostealer inclui um script que deleta os cookies do computador e força o usuário a inserir novamente as credenciais de login da conta, enviando as informações ao cibercriminoso. Depois que consegue as credenciais da conta, os cibercriminosos as utilizam para distribuir mais programas maliciosos, muitas vezes com a publicação de conteúdo não relacionado à conta original. Além disso, há a exclusão do material antigo do canal. Para a vítima, as consequências podem envolver o fechamento do canal, a desmonetização de seus vídeos e até a perda de seguidores.

Muitas contas foram comprometidas usando este modus operandi. O AhnLab Security Intelligence Center (ASEC) descobriu um número crescente de casos em que cibercriminosos acessam credenciais de canais famosos do YouTube e então eles se aproveitam deles para distribuir mais malware do tipo infostealer.

Em cada um dos casos compartilhados pela ASEC, a mesma prática é evidente por parte dos agentes maliciosos: a de adicionar um link de download comprometido na descrição ou na seção de comentários de um vídeo sobre a versão crackeada de programas como os da Adobe, por exemplo. Os cibercriminosos também aproveitam os canais do YouTube que promovem videogames pirateados ou crackeados. Nesses casos, os hackers publicam links nas descrições dos vídeos que, na verdade, levam as vítimas a sites que distribuem infostealers.

“O complexo desta situação é que este tipo de programa malicioso permanece escondido no computador infectado em busca de todos os tipos de senhas e informações bancárias armazenadas no navegador, mas também tem potencial para realizar outras ações, como captura de tela”, observa Camilo Gutiérrez Amaya da ESET América Latina.

Caso já aconteceu antes

Em 2023, a ESET cobriu o caso em que uma pessoa foi vítima de malware do tipo infostealer ao clicar em um link malicioso publicado em um canal comprometido. Ela baixou um crack de um popular programa da Adobe no YouTube e foi infectada por um malware que acessou suas contas do Instagram, Facebook, Twitter, Hotmail, Twitch e Steam. Embora em algumas dessas contas comprometidas o programa malicioso tenha feito publicações em seu nome, as chaves de login não foram modificadas. Portanto, a vítima nunca perdeu o acesso, conseguindo assim alterar as senhas e ativar etapas de autenticação em dois fatores (2FA).

Caso a conta de um usuário tenha sido roubada, a equipe de Suporte do Google compartilha os passos a seguir. Primeiro, recuperar a conta Google hackeada associada ao canal do YouTube, atualizar a senha e ativar a autenticação de dois fatores. Em seguida, reverter quaisquer alterações indesejadas que o agente mal-intencionado possa ter feito no canal do YouTube para evitar violações de direitos autorais ou das diretrizes da comunidade. Nos casos em que o canal foi fechado após o hackeamento, uma vez recuperada a conta Google, pode-se recorrer do encerramento do canal. Por sua vez, o Google disponibiliza para quem pertence ao Programa de Parcerias do YouTube uma equipe de suporte especialmente dedicada aos criadores do YouTube.

Image by Freepik