Recentemente, uma série de ataques em grande escala atingiu grandes Canais brasileiros do YouTube, como o Bravo, um canal com 11 anos e um dos maiores no nicho de jogos, e o canal No Nerd, Faz Peter Jordan, com mais de 10,8 milhões de assinantes. O problema está chamando a atenção de vários youtubers de tamanhos diferentes, justamente pelo risco de perder o canal por causa de tal golpe.

O “hacker ético” Gabriel Pato publicou uma análise do malware que pode ter sido usado para atacar os canais. Gabriel explicou um pouco sobre o (quão simples) o vírus funciona, sua origem, os tipos de informação que ele rouba e quais estratégias foram utilizadas para infectar YouTubers.

Vale ressaltar que os ataques de malware não são algo isolado ou mesmo novo, já que o ataque já aconteceu inúmeras vezes e até criou questões legais para o YouTube.

Assim como acontece com canais do YouTube no exterior ou mesmo em exemplos anteriores aqui no Brasil, o principal motivo dos ataques é usar canais como uma ponte entre assinantes e um golpe clássico que rouba criptomoedas.

Ataque de hackers demonstra conhecimento e sofisticação

Um dos pontos mais interessantes dos ataques é que tudo é feito por meio de uma tática de phishing com um certo nível de sofisticação. A primeira onda de golpes, que acabou tomando alguns canais de médio porte, focou no nicho de jogos, justamente para dar mais credibilidade à tática e a toda a conversa que levou ao ataque final.

Ao contrário da maioria dos ataques de phishing que ocorrem na Internet, em que milhões de mensagens são enviadas aos usuários, na esperança de que alguém cometa um erro, os hackers do YouTube têm uma estratégia direcionada e direta.

Até recentemente, eles procuravam canais de jogos, se passando por um desenvolvedor de jogos independente e oferecendo chaves de teste e oportunidades de publicidade paga. Bruno Correa, YouTuber de 7,15 milhões de inscritos, contou em seu canal como alguém se passando por desenvolvedor Slormite tentou aplicar o golpe contra ele.

No vídeo ele também diz que em 1 semana, três cursos foram aplicados. Todos se passando por desenvolvedores independentes. Em um dos e-mails, fingindo ser o desenvolvedor de Spelunky 2, a “empresa” ofereceu a quantidade de US $ 9.500 dólares para a produção do vídeo, além da chave do jogo.

O problema se tornou tão comum que mesmo desenvolvedores independentes começaram a alertar jogadores e criadores de conteúdo sobre o risco de golpes e o uso de e-mails falsos usados ​​por golpistas.

🚨 Criadores de conteúdo que estão recebendo e-mails sobre cobertura paga para o Leste: esses e-mails são um * SCAM * e contêm malware prejudicial. Não os abra!

Eles adquiriram recentemente um domínio falso, então seja extremamente vigilante:

🚫 FAKE @pixpilgames.with / @gmail.com
✅ REAL @chucklefish.org pic.twitter.com/A4KTTLjiHw

– Jinglefish (@ChucklefishLTD) 6 de agosto de 2020

A engenharia social é a principal arma do ataque, sendo muito mais importante do que o próprio malware. E uma das principais estratégias para o sucesso do grupo é o uso de e-mails com domínios de phishing e até mesmo uma linguagem compatível com as atividades padrão do YouTube.

E-mails falsos e linguagem de alto nível fazem parte do golpe de hack do YouTube

O golpe começa com o contato por e-mail ou Whatsapp e, ao contrário dos golpes mais simples, a linguagem é muito semelhante ao tipo de conversa que ocorre entre criadores de conteúdo e desenvolvedores.

Há menções sobre o embargo (período em que nenhuma informação sobre o jogo pode ser divulgada) e vários outros termos que, mesmo para os já acostumados a esse nicho, dão credibilidade a toda a conversa.

Em um vídeo explicando o que aconteceu com seu canal e como foi hackeado, Angry revelou que foi exatamente esse PDF que o enganou e causou sérios danos ao seu canal (que agora foi recuperado).

Interessantes são os e-mails usados ​​por golpistas. Anteriormente, eles usavam o domínio @ gmail.com, mas para aumentar ainda mais a possibilidade de enganar os criadores de conteúdo, eles recentemente começaram a comprar seus próprios domínios.

No caso do vírus que roubou o canal do Angry, o e-mail foi enviado através do endereço com domínio @ cyberpunk2077.icu. Outros criadores receberam contato de @ cdprojektred.media.

Como você pode ver no site oficial do CD Projekt Red, o e-mail oficial da empresa é @ cdprojekt.com

Como você pode ver, a semelhança é suficiente para enganar quem não tem muita consciência do que está acontecendo.

Como funciona o malware que derrubou o canal Angry?

De acordo com a investigação realizada por Gabriel Pato, o malware que foi utilizado nos últimos ataques é conhecido como Linha Vermelha, uma aplicação russa bem conhecido no ciberespaço e amplamente vendido em fóruns de hackers.

RedLine atua como um “ladrão”, quase uma evolução do keylogger. O termo “stealer”, que nada mais é do que “ladrão” em inglês, é especializado em roubar informações diversas, podendo ser adaptado para diferentes campanhas.

Ele pode ser encontrado em fóruns russos por cerca de US $ 200 por mês (plano de assinatura). Entre seus recursos, pode roubar senhas e dados salvos em navegadores, números e senhas de cartão de crédito, informações sobre o sistema e o usuário e recentemente foi atualizado para roubar carteiras de criptomoedas.

Voltando à investigação de Gabriel Pato, ele descobriu com qual servidor o vírus se comunica depois de instalado na máquina da vítima.

Ao analisar o malware, Pato constatou que ele não usa totalmente suas funções nos computadores infectados. O RedLine está programado apenas para pesquisar e roubar dados do navegador (cookies, senhas salvas, localização, etc.), além de fazer uma captura de tela do usuário.

Para piorar as coisas, o vírus tem uma série de barreiras e recursos para evitar varreduras simples de antivírus. O Windows Defender e até mesmo outros analisadores não conseguem determinar se há algo errado com o arquivo baixado.

Todos esses dados são compilados em um único arquivo e enviados diretamente para o servidor de controle indicado acima. Mas por que os hackers estão interessados ​​nesses dados?

Bem, a resposta é simples, a informação mais importante para este vírus são precisamente os dados de cache e cookies do navegador.

O vírus hacker do YouTube pode passar na autenticação de dois fatores

Durante os ataques, muitos questionaram se os YouTubers estavam usando autenticação de dois fatores (2FA) para se proteger. O problema é que, como o RedLine funciona, ele consegue passar por autenticação de dois fatores, pois rouba não só a senha, mas também o cookie e os dados do cache que podem permitir que o hacker simule ser a mesma pessoa.

Como o 2FA é usado para novos logins e o RedLine rouba dados onde os logins já foram feitos e autenticados, não há solicitação de nova autenticação. Em poucos minutos o hacker pode alterar todas as senhas que quiser, sem ter nenhum tipo de barreira.

Os vírus podem iniciar uma campanha contra canais de maquiagem

Também por meio de sua investigação, Gabriel Pato constatou que um dos domínios (cyberpunk2077.icu) foi registrado em outro e-mail: [email protected], provavelmente um e-mail falso ou roubado de alguém para registrar os domínios do golpe. Mas o que ele percebeu é que recentemente novos domínios foram registrados, todos posando como marcas de maquiagem:

• avon-company.site
• marykay-promo.sites
• maybelline.space
• mkglobal.site
• marykayglobal.site

Com isso, há uma grande probabilidade de que a próxima onda de golpes tenha como alvo influenciadores e criadores de conteúdo que falam sobre maquiagem e podem ter contato com essas empresas.

E, no final das contas, por que eles estão hackeando canais do YouTube?

Um novo jogo foi lançado, Cyberpunk 2077, então proprietários de canais de jogos se tornaram alvos de hackers. A tática é a engenharia social, oferecendo alguma parceria e pedindo aos proprietários dos canais que instalem um software, no caso, o vírus.

O objetivo do golpe é aplicar um segundo golpe, desta vez com criptomoedas por meio do clássico “Mandem x Bitcoins e mandaremos o dobro”, algo que nunca acontece, é claro.

Os canais roubados são renomeados e exibem vidas infinitas com essas promessas Bitcoin gratuitamente para qualquer um que enviar uma quantidade de moedas para uma carteira específica.

Não se sabe se a pessoa que rouba as contas é a mesma que aplica o golpe do Bitcoin ou se ela vende o acesso a esses canais no Mercado Negro a qualquer pessoa interessada em aplicar esse tipo de estratégia.