No cenário em constante evolução das ameaças cibernéticas, duas plataformas tradicionalmente vistas como espaços seguros para a criação de conteúdo, aprendizado e código abertoa colaboração tornou-se alvo de distribuição de malware destinado a roubar criptomoedas e dados pessoais - YouTube e GitHub.

Em 2024, o panorama de ameaças mudou e os cibercriminosos estão usando cada vez maismétodos sofisticados para explorar essas plataformas, aproveitando suas amplas bases de usuários e reputações confiáveis.

Então, como é que os cibercriminosos estão a usar o YouTube e o GitHub para espalhar malware e como é que pode proteger-se?

Por que o YouTube e o GitHub são alvos para malware de criptografia

Se és um criador de conteúdo ou cientista de dados, confias no YouTube e GitHub como plataformas seguras, o que torna ainda mais perigoso quando são mal utilizadas. Porque é que estas plataformas são agora alvo decrypto malwaredistribuição?

Vamos descobrir as razões:

Grande base de usuários: Ambas as plataformas possuem milhões de usuários, oferecendo aos criminosos cibernéticos uma enorme quantidade de potenciais vítimas.

Acessibilidade aberta: Qualquer pessoa pode carregar código no GitHub, proporcionando aos cibercriminosos uma oportunidade de baixa barreira para esconder scripts maliciosos em projetos de código aberto que parecem ser úteis.

Confiança e credibilidade: As pessoas confiam no conteúdo que encontram em tutoriais do YouTube ou repositórios do GitHub, o que torna mais fácil disfarçar malwares como software ou ferramentas legítimas.

Envolvimento do utilizador: A elevada interação do utilizador nestas plataformas, como marcar repositórios do GitHub ou assistir a tutoriais do YouTube, cria um ambiente perfeito para a rápida disseminação de malware.

Falta de escrutínio: Muitos utilizadores descarregam ficheiros ou seguem instruções de criadores de conteúdos populares sem pensar duas vezes, permitindo que malware passe despercebido.

Sabia que? As plataformas de Malware-as-a-service (MaaS) disponibilizam malware sofisticado a qualquer pessoa disposta a pagar, transformando o cibercrime num serviço alugável. Estas plataformas oferecem frequentemente vários pacotes, incluindo info-stealers como o RedLine, que visam carteiras de criptomoedas.

Como o malware criptográfico é espalhado através do GitHub

O GitHub - uma plataforma tradicionalmente usada para compartilhar código aberto - tornou-se um alvo significativo de ataques cibernéticos. Sua reputação como um repositório confiável para desenvolvedores e entusiastas de tecnologia facilita para os atacantes esconderem código malicioso à vista de todos, principalmente visando carteiras de criptomoeda e informações pessoais.

A Rede Fantasma Stargazers: Um estudo de caso

Em julho de 2024, a Check Point Research descobriu uma sofisticada rede de distribuição de malware como serviço (DaaS) chamada Stargazers Ghost Network. Este malware estava operando no GitHub há pelo menos um ano.

Esta rede envolvia uma série de contas "fantasma" que pareciam legítimas porque estavam envolvidas em atividades típicas do GitHub, como marcar repositórios como favoritos e seguir outros utilizadores. Isso criava a ilusão de que eram contas regulares a contribuir para a comunidade de código aberto.

No entanto, essas contas fantasmas estavam distribuindo malware ao inserir links maliciosos em seus repositórios do GitHub. Em uma campanha especialmente notável, a rede espalhou o Atlantida Stealer, uma nova família de malware projetada para roubar carteiras de criptomoedas, credenciais de login e informações pessoalmente identificáveis (PII). Em quatro dias, mais de 1.300 usuários foram infectados pelo Atlantida Stealer através de repositórios do GitHub.

As famílias de malware espalhadas pela rede incluem Atlantida Stealer, Rhadamanthys, Lumma Stealer e RedLine.

Como é que eles foram capazes de abusar do GitHub? Vamos descobrir.

README.md como um Cavalo de Tróia: Você pode pensar que o arquivo README.md em um repositório do GitHub é apenas uma descrição comum do projeto ou instruções de uso. A pegadinha? Esses arquivos podem estar repletos de links maliciosos disfarçados como recursos úteis para aumentar o número de seguidores nas redes sociais, levando a phishing ou malware.

O poder das “estrelas” e dos “forks”: No GitHub, quando um projeto recebe muitas estrelas ou é frequentemente bifurcado, parece ser popular e confiável. Os cibercriminosos se aproveitam disso criando várias contas falsas (ou “contas fantasmas”) para estrelar e bifurcar seus próprios repositórios, fazendo com que seu código malicioso pareça legítimo. Quanto mais estrelas, mais credível o projeto parece à primeira vista. Os usuários frequentemente confiam em projetos com alto engajamento sem investigar profundamente o que está sendo oferecido.

Rotação constante de contas: Cibercriminosos como a Rede Fantasma Stargazers estão sempre um passo à frente. Para evitar a detecção, eles criam constantemente novas contas e alternam suas operações, tornando difícil encerrar suas atividades maliciosas mesmo depois que a plataforma os proíbe.

Malware oculto em lançamentos: Arquivos maliciosos são ocultados em arquivos protegidos por senha (como arquivos .zip ou .7z), tornando-os mais difíceis de detectar. Esses arquivos muitas vezes são disfarçados como software legítimo e baixados por usuários desavisados.

Possivelmente ainda mais alarmante é como essas contas fantasmas se tornaram um negócio na dark web (alugadas para aumentar a legitimidade). Criminosos cobravam de outros por curtidas, forkadas e por fazer projetos maliciosos parecerem confiáveis. A rede fantasma Stargazers ganhou em torno $100,000 através destes serviços.

Pode evitar cair nas armadilhas dos cibercriminosos ao compreender as técnicas de manipulação acima.

Sabia que? Quando você “estrela” um repositório no GitHub, está basicamente marcando-o para mais tarde. É uma maneira de mostrar sua apreciação ou interesse em um projeto. Por outro lado, “forkar” um repositório permite que você crie uma cópia dele. Isso permite que você experimente, faça alterações ou até mesmo construa em cima do projeto original sem afetar a versão original.

Como o malware de criptografia é ocultado no YouTube

Com mais de 2,5 bilhões de usuários, o YouTube se tornou uma plataforma de referência para tutoriais, entretenimento e conteúdo educativo. Essa enorme base de usuários o torna um alvo lucrativo para cibercriminosos que procuram explorar usuários desavisados. O método? Vídeos enganosos, tutoriais falsos e links maliciosos embutidos nas descrições dos vídeos.

Por exemplo, os cibercriminosos muitas vezes utilizam vídeos que afirmam oferecer versões "crackeadas" de software popular, como AutoCAD, Adobe After Effects ou Photoshop, atraindo usuários que não estão dispostos ou não podem pagar por versões legítimas.

Muitos não percebem que seguir estas instruções em vídeo pode levá-los a fazer o download de malware, em vez do software que esperavam.

Um exemplo real: Lumma Stealer

O malware Lumma Stealer tem circulado no YouTube ao longo de 2024. Ele foi projetado para extrair informações altamente sensíveis, como senhas de navegador salvas, cookies e até mesmo credenciais de carteira de criptomoeda.

Vamos entender como isto funciona:

Malware escondido em ficheiros ZIP: Os cibercriminosos empacotaram o malware num ficheiro ZIP que os utilizadores foram instruídos a descarregar através da descrição do vídeo.

Vídeos tutoriais enganosos: Os vídeos foram habilmente disfarçados como tutoriais ou "como fazer" para a instalação de software, mas uma vez que os utilizadores seguiram os passos, infectaram involuntariamente os seus computadores.

Este tipo de ataque aproveita a confiança que os utilizadores depositam no YouTube. Afinal, quando um vídeo tem centenas de milhares de visualizações e comentários positivos, não parece algo que possa prejudicar o seu computador. É exatamente isso que torna esses ataques tão eficazes: eles se misturam perfeitamente a conteúdo legítimo.

Sabia? Os criadores de malware desenvolveram um método altamente eficiente para distribuir malware usando comentários em repositórios públicos do GitHub. Esses comentários frequentemente incluem um link para um arquivo criptografado hospedado no Mediafire[.]com, juntamente com a senha comum "changeme" para acessar o arquivo. Uma vez que as vítimas baixam e descompactam o arquivo, seus dados ficam vulneráveis a comprometimento.

Roubo de sessão e roubo de stream: Preocupações crescentes

Os cibercriminosos também começaram a empregar técnicas mais avançadas, como o sequestro de sessão, que nem sequer requer suas senhas ou credenciais.

Em vez disso, ele sequestra seus cookies de sessão - pequenos arquivos que rastreiam suas sessões ativas em plataformas como o YouTube ou Google. Com esses cookies de sessão, os atacantes podem contornarautenticação de dois fatores (2FA)e aceda às suas contas sem precisar da sua senha.

Em março de 2024, foi descoberta uma campanha de malware que se espalhava por meio de descrições de vídeos do YouTube. Esse malware foi projetado para roubar cookies de sessão, permitindo que os atacantes sequestrassem contas de usuário e se espalhassem ainda mais.

Em 2023, a empresa de cibersegurança Bitdefender identificou uma técnica chamada “stream-jacking,” que os cibercriminosos usavam para sequestrar contas de alto perfil, frequentemente com deepfakes em destaquede conteúdo de Elon Musk e Tesla para atrair utilizadores para esquemas fraudulentos.

Ao usaremails de phishingdisfarçados de ofertas de colaboração, os hackers instalam malware Redline Infostealer, ganhando controle de contas mesmo com 2FA. Esses golpistas direcionam os usuários para sites de golpes de criptomoedas usando links maliciosos ou códigos QR embutidos em vídeos.

O conteúdo original é excluído ou ocultado, e as descrições são alteradas para se assemelharem aos canais oficiais da Tesla. Após detectar atividades suspeitas, o YouTube geralmente fecha essas contas, causando perdas significativas para os proprietários legítimos, incluindo vídeos, assinantes e monetização.

Você sabia? Os ataques de phishing frequentemente aproveitam domínios enganosos para induzir os utilizadores a descarregar malware ou divulgar informações confidenciais. Os cibercriminosos usam sitescomo pro-swapper[.]com, fenzor[.]com e vortex-cloudgaming[.]com, imitando plataformas legítimas para atrair vítimas. Verifique sempre a autenticidade dos sites antes de baixar ficheiros ou inserir informações pessoais.

Principais formas de se proteger de malware de criptografia no YouTube e GitHub

Dado o crescente prevalência de ciberataques, é mais importante do que nunca que os utilizadores estejam vigilantes. Aqui estão algumas formas de se proteger:

Monitore suas contas: Muitas plataformas, incluindo o Google e o GitHub, permitem que você veja os logins recentes e os dispositivos conectados à sua conta. Se algo parecer suspeito, altere imediatamente suas senhas e faça logout de todas as sessões.

Use senhas fortes e exclusivas e ative a autenticação de dois fatores: Embora a autenticação de dois fatores não seja infalível contra sequestro de sessão, ainda é uma camada essencial de proteção. O uso de senhas fortes e exclusivas para cada plataforma também pode evitar que invasores acessem várias contas caso uma seja comprometida.

Use MFA resistente a phishing: Opte por chaves de segurança de hardware ouMFA baseado em biometriapara uma proteção mais forte contra ataques de phishing.

Verifique os links antes de clicar: Sempre verifique a legitimidade dos links nas descrições de vídeos do YouTube ou nos repositórios do GitHub antes de clicar. Procure sinais de que algo possa estar errado, como URLs encurtados ou domínios que não correspondam à estrutura típica da plataforma.

Seja cético em relação a ofertas de software gratuito: Se algo parece bom demais para ser verdade, provavelmente é. Esteja atento a qualquer vídeo ou repositório do GitHub que ofereça software crackeado, especialmente se exigir o download de arquivos de sites desconhecidos. Faça sempre o download de software a partir de fontes oficiais e confiáveis.

Atualize o software regularmente: Manter o seu sistema operativo, software antivírus e aplicações atualizados é crucial para se proteger contra vulnerabilidades conhecidas que o malware explora.

O futuro da distribuição de malware

Infelizmente, a tendência de usar plataformas como o YouTube e o GitHub para distribuir malware não mostra sinais de abrandamento. À medida que essas plataformas continuam a expandir, também aumentará a criatividade e sofisticação dos cibercriminosos que procuram explorá-las.

Olhando para o futuro, cibercriminosos integrando ferramentas alimentadas por IApode tornar esses ataques ainda mais desafiadores de detectar. Imagine contas fantasma impulsionadas por IA que possam interagir autonomamente com os usuários, adaptando mensagens de phishing com base em interações em tempo real e respostas personalizadas. Isso pode levar a uma onda mais convincente de distribuição de malwares, que pode ser quase impossível de distinguir da atividade legítima.

Compreender e mitigar esses riscos é fundamental num mundo onde a adoção de criptomoedas está a crescer, e as plataformas digitais estão se tornando centrais para muitos aspectos da vida.

Os usuários devem permanecer vigilantes,As plataformas devem intensificar as suas medidas de segurança e colaboração entre especialistas em cibersegurança, desenvolvedores e outras partes interessadas para garantir um futuro digital mais seguro.

Aviso legal：

1. Este artigo é reimpresso de [Guneet Kaur], Todos os direitos autorais pertencem ao autor original [cointelegraph]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles vão tratar disso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe de aprendizado do Gate. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.