No cenário em constante evolução das ameaças cibernéticas, duas plataformas tradicionalmente vistas como espaços seguros para criação de conteúdo, aprendizado e código abertocolaboração tornaram-se alvos para distribuir malware destinado a roubar criptomoedas e dados pessoais — YouTube eGitHub.

Em 2024, o panorama de ameaças mudou e os cibercriminosos estão usando cada vez maismétodos sofisticados para explorar essas plataformas, aproveitando suas amplas bases de usuários e reputações confiáveis.

Então, como os cibercriminosos estão usando o YouTube e o GitHub para espalhar malware e como você pode se proteger?

Por que o YouTube e o GitHub são alvos de malwares de criptografia

Se você é um criador de conteúdo ou cientista de dados, confia no YouTube e GitHub para serem plataformas seguras, tornando-se ainda mais perigoso quando são mal utilizados. Por que essas plataformas agora são alvos decripto malwaredistribuição?

Vamos descobrir as razões:

Grande base de usuários: Ambas as plataformas têm milhões de usuários, oferecendo aos criminosos cibernéticos um enorme grupo de vítimas em potencial.

Acessibilidade aberta: qualquer pessoa pode fazer upload de código no GitHub, oferecendo aos cibercriminosos uma oportunidade de baixa barreira para ocultar scripts maliciosos em projetos de código aberto que parecem ser úteis.

Confiança e credibilidade: As pessoas confiam no conteúdo que encontram em tutoriais do YouTube ou repositórios do GitHub, o que facilita a disfarçar malware como software ou ferramentas legítimas.

Engajamento do usuário: Alta interação do usuário nessas plataformas, como marcar repositórios do GitHub ou assistir tutoriais no YouTube, cria um ambiente perfeito para a rápida disseminação de malware.

Falta de escrutínio: Muitos usuários baixam arquivos ou seguem instruções de criadores de conteúdo populares sem pensar duas vezes, permitindo que malwares passem despercebidos.

Você sabia? As plataformas de malware como serviço (MaaS) disponibilizam malware sofisticado para qualquer pessoa disposta a pagar, transformando o cibercrime em um serviço locável. Essas plataformas geralmente oferecem vários pacotes, incluindo ladrões de informações como o RedLine, que visam carteiras de criptomoedas.

Como o malware de criptografia é espalhado via GitHub

O GitHub, uma plataforma tradicionalmente usada para compartilhar código aberto, tornou-se um alvo significativo de ciberataques. Sua reputação como um repositório confiável para desenvolvedores e entusiastas de tecnologia facilita para os atacantes esconderem código malicioso à vista de todos, principalmente visando carteiras de criptomoedas e informações pessoais.

A Rede Fantasma dos Observadores das Estrelas: Um estudo de caso

Em julho de 2024, a Check Point Research descobriu uma sofisticada rede de distribuição de malware como serviço (DaaS) chamada Stargazers Ghost Network. Esse malware estava operando no GitHub há pelo menos um ano.

Esta rede envolveu uma série de contas "fantasma" que pareciam legítimas porque se envolviam em atividades típicas do GitHub, como marcar repositórios e seguir outros usuários. Isso criou a ilusão de que eram contas regulares contribuindo para a comunidade de código aberto.

No entanto, essas contas fantasmas estavam distribuindo malware ao incorporar links maliciosos em seus repositórios do GitHub. Em uma campanha particularmente notável, a rede espalhou o Atlantida Stealer, uma nova família de malware projetada para roubar carteiras de criptomoedas, credenciais de login e informações pessoalmente identificáveis ​​(PII). Em quatro dias, mais de 1.300 usuários foram infectados pelo Atlantida Stealer por meio de repositórios do GitHub.

As famílias de malware spread through the network incluem Atlantida Stealer, Rhadamanthys, Lumma Stealer e RedLine.

Como eles conseguiram abusar do GitHub? Vamos descobrir.

README.md como um Cavalo de Troia: Você pode pensar que o arquivo README.md em um repositório do GitHub é apenas uma descrição comum do projeto ou instruções de uso. O truque? Esses arquivos podem estar cheios de links maliciosos disfarçados de recursos úteis para aumentar sua base de seguidores nas redes sociais, levando a phishing ou malware.

O poder das "estrelas" e dos "forks": No GitHub, quando um projeto recebe muitas estrelas ou é bifurcado com frequência, ele parece popular e confiável. Os cibercriminosos aproveitam isso criando várias contas falsas (ou contas "fantasmas") para estrelar e bifurcar seus próprios repositórios, fazendo com que seu código malicioso pareça legítimo. Quanto mais estrelas, mais credível o projeto parece à primeira vista. Os usuários costumam confiar em projetos com alta participação sem investigar mais a fundo o que está sendo oferecido.

Rotação constante de contas: Cibercriminosos como a Rede Fantasma Stargazers estão sempre um passo à frente. Para evitar detecção, eles criam constantemente novas contas e alternam suas operações, tornando difícil interromper suas atividades maliciosas mesmo após a plataforma bani-los.

Malware oculto nos lançamentos: arquivos maliciosos são ocultados em arquivos protegidos por senha (como arquivos .zip ou .7z), tornando-os mais difíceis de detectar. Esses arquivos muitas vezes são disfarçados como software legítimo e baixados por usuários desprevenidos.

Talvez ainda mais alarmante seja como essas contas fantasmas se tornaram um negócio na dark web (alugadas para aumentar a legitimidade). Criminosos cobravam outros por dar destaque, bifurcar e fazer projetos maliciosos parecerem confiáveis. A rede fantasma Stargazers ganhou ao redor US$ 100.000 por meio desses serviços.

Você pode evitar cair nas armadilhas dos cibercriminosos entendendo as técnicas de manipulação acima.

Sabia? Quando você “estrela” um repositório no GitHub, você essencialmente o marca para mais tarde. É uma forma de mostrar sua apreciação ou interesse em um projeto. Por outro lado, “fazer um fork” de um repositório permite que você crie uma cópia dele. Isso permite que você experimente, faça alterações ou até mesmo construa sobre o projeto original sem afetar a versão original.

Como o malware de criptografia está oculto no YouTube

Com mais de 2,5 bilhões de usuários, o YouTube se tornou uma plataforma de referência para tutoriais, entretenimento e conteúdo educacional. Essa enorme base de usuários o torna um alvo lucrativo para cibercriminosos que buscam explorar usuários desprevenidos. O método? Vídeos enganosos, tutoriais falsos e links maliciosos embutidos em descrições de vídeos.

Por exemplo, os cibercriminosos muitas vezes utilizam vídeos que afirmam oferecer versões "crackeadas" de software popular, como AutoCAD, Adobe After Effects ou Photoshop, atraindo usuários que estão ou não dispostos ou não conseguem pagar por versões legítimas.

Muitos não percebem que seguir essas instruções em vídeo pode levá-los a baixar malware, e não o software que eles esperavam.

Um exemplo real: Lumma Stealer

O malware Lumma Stealer tem circulado no YouTube ao longo de 2024. Ele é projetado para extrair informações altamente sensíveis, como senhas de navegador salvas, cookies e até credenciais de carteira de criptomoeda.

Vamos entender como isso funciona:

Malware oculto em arquivos ZIP: os cibercriminosos empacotaram o malware em um arquivo ZIP que os usuários foram direcionados a baixar por meio da descrição do vídeo.

Vídeos de tutorial enganosos: Os vídeos estavam habilmente disfarçados como tutoriais ou "como fazer" para instalação de software, mas uma vez que os usuários seguiram os passos, infectaram seus computadores sem saber.

Esse tipo de ataque se aproveita da confiança que os usuários depositam no YouTube. Afinal, quando um vídeo tem centenas de milhares de visualizações e comentários positivos, não parece algo que possa prejudicar o seu computador. É exatamente isso que torna esses ataques tão eficazes: eles se misturam ao conteúdo legítimo de maneira perfeita.

Você sabia? Os criadores de malware desenvolveram um método altamente eficiente para distribuir malware usando comentários em repositórios públicos do GitHub. Esses comentários frequentemente incluem um link para um arquivo criptografado hospedado no Mediafire[.]com, juntamente com a senha comum "changeme" para acessar o arquivo. Uma vez que as vítimas baixam e descompactam o arquivo, seus dados se tornam vulneráveis a comprometimento.

Roubo de sessão e roubo de fluxo: crescente preocupação

Os cibercriminosos também começaram a empregar técnicas mais avançadas, como sequestro de sessão, que nem mesmo requer suas senhas ou credenciais.

Em vez disso, ele sequestra seus cookies de sessão - pequenos arquivos que rastreiam suas sessões ativas em plataformas como YouTube ou Google. Com esses cookies de sessão, os atacantes podem contornar autenticação de dois fatores (2FA)e acesse suas contas sem precisar de sua senha.

Em março de 2024, uma campanha de malware foi descoberta se espalhando através de descrições de vídeos do YouTube. Esse malware foi projetado para roubar cookies de sessão, permitindo que os atacantes sequestrassem contas de usuários e se espalhassem ainda mais.

Em 2023, a empresa de cibersegurança Bitdefender identificou uma técnica chamada “stream-jacking”, que os cibercriminosos usavam para sequestrar contas de alto perfil, frequentemente apresentando deepfakesde conteúdo de Elon Musk e Tesla para atrair usuários para golpes.

Ao usar emails de phishingdisfarçados como ofertas de colaboração, os hackers instalam malware Redline Infostealer, ganhando controle das contas mesmo com 2FA. Esses golpistas direcionam os usuários para sites de golpes de criptomoedas usando links maliciosos ou códigos QR embutidos em vídeos.

O conteúdo original é excluído ou oculto, e as descrições são alteradas para se assemelhar a canais oficiais da Tesla. Depois de detectar atividades suspeitas, o YouTube geralmente fecha essas contas, causando perdas significativas para os proprietários legítimos, incluindo vídeos, inscritos e monetização.

Você sabia? Os ataques de phishing frequentemente utilizam domínios enganosos para enganar os usuários a baixar malware ou divulgar informações confidenciais. Os cibercriminosos usam sitescomo pro-swapper[.]com, fenzor[.]com e vortex-cloudgaming[.]com, imitando plataformas legítimas para atrair vítimas. Sempre verifique a autenticidade dos sites antes de baixar arquivos ou fornecer informações pessoais.

Principais maneiras de se proteger de malwares de criptomoedas no YouTube e GitHub

Dado o crescente prevalência de ciberataquesÉ mais importante do que nunca que os usuários estejam vigilantes. Aqui estão algumas maneiras de se proteger:

Monitore suas contas: muitas plataformas, incluindo Google e GitHub, permitem que você veja os logins recentes e os dispositivos conectados à sua conta. Se algo parecer suspeito, altere imediatamente suas senhas e faça logout de todas as sessões.

Use senhas fortes e exclusivas e ative a autenticação de dois fatores (2FA): Embora o 2FA não seja infalível contra sequestro de sessão, ainda é uma camada essencial de proteção. Usar senhas fortes e exclusivas para cada plataforma também pode impedir que invasores acessem várias contas se uma for comprometida.

Use MFA resistente a phishing: Opte por chaves de segurança de hardware ou MFA baseado em biometriapara uma proteção mais forte contra ataques de phishing.

Verifique os links antes de clicar: sempre verifique a legitimidade dos links nas descrições de vídeos do YouTube ou nos repositórios do GitHub antes de clicar. Procure por sinais de que algo possa estar errado, como URLs encurtadas ou domínios que não correspondem à estrutura típica da plataforma.

Seja cético em relação a ofertas de software gratuito: se algo parece bom demais para ser verdade, provavelmente é. Tenha cuidado com qualquer vídeo ou repositório do GitHub que ofereça software crackeado, especialmente se exigir o download de arquivos de sites desconhecidos. Sempre faça o download de software de fontes oficiais e confiáveis.

Atualize o software regularmente: Manter seu sistema operacional, software antivírus e aplicativos atualizados é crucial para proteção contra vulnerabilidades conhecidas que o malware explora.

O futuro da distribuição de malware

Infelizmente, a tendência de usar plataformas como o YouTube e o GitHub para distribuir malware não mostra sinais de desaceleração. À medida que essas plataformas continuam a expandir, a criatividade e a sofisticação dos cibercriminosos que procuram explorá-las também aumentarão.

Olhando para frente, criminosos cibernéticos integrando ferramentas alimentadas por AIPode tornar esses ataques ainda mais difíceis de detectar. Imagine contas fantasmas impulsionadas por IA que possam interagir autonomamente com os usuários, adaptando mensagens de phishing com base em interações em tempo real e respostas personalizadas. Isso poderia resultar em uma onda mais convincente de distribuição de malware, que poderia ser quase impossível de distinguir da atividade legítima.

Compreender e mitigar esses riscos é fundamental em um mundo onde a adoção de criptomoedas está crescendo, e as plataformas digitais estão se tornando centrais para muitos aspectos da vida.

Os usuários devem permanecer vigilantes,as plataformas devem intensificar suas medidas de segurança e colaboração entre especialistas em cibersegurança, desenvolvedores e outros stakeholders-chave para garantir um futuro digital mais seguro.

Isenção de responsabilidade:

1. Este artigo é reproduzido a partir de [Guneet Kaur], Todos os direitos autorais pertencem ao autor original [cointelegraph]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipe, e eles lidarão com isso prontamente.
2. Isenção de responsabilidade: As visões e opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe de Aprendizado da Gate. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.