O YouTube foi usado em uma extensa campanha de phishing que usou a plataforma para promover o download e instalação de software crackeado e jogos gratuitos para roubo de credenciais.
Nesta campanha, os invasores estão abusando de um tutorial em vídeo que tem a intenção de induzir os usuários a acreditar que o link fornecido na descrição do vídeo é um link que fará o download do software desejado e que eles podem instalá-lo seguindo as instruções fornecidas na descrição do vídeo.
YouTube usado em campanha de phishing para roubo de credenciais
Durante a investigação, os especialistas da Cyble (Via: GBHackers) descobriram que vários dos sites mencionados na descrição do vídeo eram sites de phishing. Os agentes de ameaças criaram páginas de phishing que visam aumentar as chances de uma infecção bem-sucedida.
Além disso, é possível calcular o sucesso desta campanha com base em quantas visualizações estão sendo recebidas por cada um dos vídeos postados nesta campanha.
Análise de campanhas
Essas campanhas maliciosas visam principalmente pessoas interessadas em obter software gratuito, como jogos, programas, etc. em troca de seus endereços de e-mail. No total são quatro campanhas que foram detectadas.
Campanha 1
Constatou-se que na campanha 1, havia uma imagem que indica que um site hospedado na URL: hxxps://teensoft[.]org/, foi usado pela campanha de vídeo do YouTube para distribuir o Info stealer.
Campanha 2
O site hospedado na URL: hxxps://wh1tesoftware[.]me/ está sendo usado na campanha 2 para entregar malware ladrão por meio de vídeos maliciosos do YouTube.
Campanha 3
Os especialistas descobriram que uma campanha de vídeo do YouTube estava usando um site hospedado no URL: http://hxxps://soft-exp[.]org/ para entregar arquivos maliciosos aos usuários que assistiram ao vídeo. O objetivo é fazer com que as pessoas instalem ladrões de informações em seus computadores, apresentando uma variedade de aplicativos de jogos, software de crack, plugins, scripts Roblox e truques como iscas
Campanha 4
Já a quarta campanha envolveu o uso de um site hospedado pela URL: hxxps://appshigha[.]com/, cuja finalidade era entregar software malicioso ao computador da vítima.
O site contém uma ampla gama de software livre, que inclui: Plug-in Sapphire; Plugin Twixtor; Valorant Hack; Menu de mods do GTA Online; Microsoft Office; CCleaner PRO e; AutoCAD.
Outros golpes
Desde o início de 2019, vários fóruns de crimes cibernéticos ofereceram malware como um serviço baseado no ladrão RecordBreaker.
Depois que um dos desenvolvedores seniores do Raccoon Stealer morreu na guerra Ucrânia-Rússia em março de 2022, o grupo foi dissolvido. De acordo com as configurações do ladrão, também é possível que outras cargas de malware sejam entregues pelo ladrão.