{"id":21395,"date":"2023-06-13T12:06:22","date_gmt":"2023-06-13T15:06:22","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21395"},"modified":"2023-06-13T12:06:22","modified_gmt":"2023-06-13T15:06:22","slug":"youtubers-takeovers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/youtubers-takeovers\/21395\/","title":{"rendered":"Canais no Youtube s\u00e3o hackeados com cookies roubados"},"content":{"rendered":"

Alguns meses atr\u00e1s, o popular blogueiro de tecnologia Linus Tech foi hackeado<\/a>. Todos seus tr\u00eas canais no YouTube (o maior deles com mais de 15 milh\u00f5es de assinantes) ca\u00edram nas m\u00e3os de cibercriminosos, que come\u00e7aram a fazer transmiss\u00f5es com an\u00fancios de criptomoedas falsos. Como os hackers conseguiram acessar os canais? O famoso blogueiro de tecnologia n\u00e3o protegeu suas contas com uma senha forte e autentica\u00e7\u00e3o de dois fatores? Claro que sim (pelo menos \u00e9 o que ele afirma<\/a>).<\/p>\n

Linus Tech foi v\u00edtima de um ataque pass-the-cookie<\/em>, um m\u00e9todo comum para atacar YouTubers selecionados. Neste post, veremos mais de perto os objetivos e motivos por tr\u00e1s desses ataques, como os hackers podem acessar os canais sem saber a senha e a autentica\u00e7\u00e3o de duas etapas, o que o Google est\u00e1 fazendo a respeito e como n\u00e3o ser v\u00edtima desse tipo de ataque.<\/p>\n

Por que ir atr\u00e1s de canais do YouTube?<\/h2>\n

Os canais de famosos YouTubers (e outros n\u00e3o t\u00e3o conhecidos) geralmente s\u00e3o sequestrados para exig\u00eancia de um resgate<\/a> para devolu\u00e7\u00e3o, ou para acessar o p\u00fablico da v\u00edtima<\/a> (como no caso da invas\u00e3o dos canais do Linus Tech). Neste \u00faltimo caso, ap\u00f3s invadir o canal, os golpistas alteram o nome, a foto do perfil e o conte\u00fado.<\/p>\n

Assim, em vez de um espa\u00e7o sobre, digamos, inova\u00e7\u00e3o tecnol\u00f3gica, aparece um canal que imita a conta de alguma grande empresa (na maioria das vezes, a Tesla) com a foto de perfil correspondente. Depois disso, os invasores o usam para transmitir grava\u00e7\u00f5es de Elon Musk expressando suas reflex\u00f5es sobre criptomoedas. Todos os outros conte\u00fados da conta, geralmente, s\u00e3o removidos.<\/p>\n

\"Transmiss\u00f5es

Transmiss\u00f5es com Elon Musk em canais hackeados. Fonte<\/a><\/p><\/div>\n

Ao mesmo tempo, um link para um site de uma \u201cpromo\u00e7\u00e3o exclusiva de criptomoeda\u201d \u00e9 inserido no chat. Por exemplo, o pr\u00f3prio Musk supostamente est\u00e1 distribuindo criptomoedas: para obter sua parte, os usu\u00e1rios devem transferir suas moedas para uma determinada carteira, com a promessa de que receber\u00e3o o dobro.<\/p>\n

\"Um

Um site falso para atrair os participantes da transmiss\u00e3o. Fonte<\/a><\/p><\/div>\n

\u00a0<\/strong>Um detalhe curioso: muitas vezes os golpistas t\u00eam a perspic\u00e1cia de colocar restri\u00e7\u00f5es no chat: s\u00f3 \u200b\u200busu\u00e1rios inscritos h\u00e1 mais de 15 ou 20 anos podem postar mensagens (e n\u00e3o importa se o canal n\u00e3o tiver esse tempo de vida, j\u00e1 que o pr\u00f3prio YouTube s\u00f3 surgiu em 2005).<\/p>\n

Claro, este \u00e9 um exemplo de um golpe t\u00edpico que j\u00e1 analisamos aqui uma<\/a> ou duas<\/a> vezes.<\/p>\n

\"Transfira

Transfira suas bitcoins para gente e ganhe o dobro. Fonte<\/a><\/p><\/div>\n

A transmiss\u00e3o \u00e9 rapidamente bloqueada pelo YouTube, junto com o canal do infeliz influenciador, por \u201cviolar as diretrizes da comunidade do YouTube\u201d. E ent\u00e3o os verdadeiros propriet\u00e1rios enfrentam a cansativa tarefa de restaurar seus pr\u00f3prios canais e provar \u00e0 plataforma que n\u00e3o foram eles que distribu\u00edram links para sites falsos e transmitiram an\u00fancios fraudulentos.<\/p>\n

No caso da Linus Tech, com seus 15 milh\u00f5es de assinantes, isso foi relativamente f\u00e1cil de fazer. O canal foi restaurado em poucas horas, embora ele tenha perdido a monetiza\u00e7\u00e3o daquele dia. Quanto tempo um YouTuber com um p\u00fablico menor precisaria para corrigir a situa\u00e7\u00e3o e se isso seria poss\u00edvel, s\u00e3o perguntas para as quais voc\u00ea n\u00e3o deseja obter uma resposta a partir de uma experi\u00eancia pessoal.<\/p>\n

Como sequestrar um canal sem precisar de senha<\/h2>\n

Para invadir um canal do YouTube, n\u00e3o \u00e9 necess\u00e1rio que os invasores roubem nenhuma credencial. Colocar as m\u00e3os nos tokens de sess\u00e3o ser\u00e1 suficiente. Mas vamos por partes\u2026<\/p>\n

Um ataque t\u00edpico a um canal do YouTube come\u00e7a<\/a> com um e-mail para o influenciador, vindo aparentemente de uma empresa genu\u00edna e com uma proposta de parceria; pode ser um servi\u00e7o de VPN, um desenvolvedor de jogos ou at\u00e9 mesmo um fornecedor de antiv\u00edrus. N\u00e3o h\u00e1 nada suspeito no primeiro e-mail, ent\u00e3o o membro da equipe do youtuber responde com uma mensagem padr\u00e3o detalhando as taxas de divulga\u00e7\u00e3o para produtos e servi\u00e7os.<\/p>\n

O pr\u00f3ximo e-mail \u00e9 muito menos inocente. Os golpistas enviam<\/a> um arquivo supostamente contendo um contrato, ou um link para um servi\u00e7o em nuvem para baix\u00e1-lo, bem como a senha desse arquivo. Para tornar o e-mail mais convincente, os criminosos geralmente adicionam um link para um site ou conta de rede social afiliada ao produto que desejam que o youtuber \u201cpromova\u201d. O link pode apontar para o site de uma empresa de boa-f\u00e9 ou para uma p\u00e1gina falsa<\/a>.<\/p>\n

E-mail com um link para baixar um arquivo com um \u201ccontrato\u201d.\u00a0 Fonte<\/a><\/p><\/div>\n

Se o influenciador ou os membros de sua equipe n\u00e3o forem cuidadosos e acessarem o arquivo, encontrar\u00e3o um ou mais documentos que podem parecer com arquivos normais de Word ou PDF. A \u00fanica coisa estranha \u00e9 que todos os arquivos s\u00e3o muito grandes (mais de 700 MB), o que impossibilita a verifica\u00e7\u00e3o de amea\u00e7as usando um servi\u00e7o como o VirusTotal<\/a>. Muitas solu\u00e7\u00f5es de seguran\u00e7a ir\u00e3o ignorar esses arquivos pelo mesmo motivo. A abertura deles com ferramentas especiais para an\u00e1lise de execut\u00e1veis \u200b\u200brevela a presen\u00e7a de muitos espa\u00e7os vazios, o que torna esses documentos muito grandes.<\/p>\n

Claro, escondido dentro do arquivo que parece um contrato inocente, h\u00e1 uma s\u00e9rie de malwares. Ciente do problema, o Google analisou<\/a> tais ataques e identificou os diversos tipos de malware utilizados. Entre eles estava o Trojan RedLine<\/a>, que tem sido apontado por muitos YouTubers como o culpado<\/a> por seus infort\u00fanios ultimamente.<\/p>\n

Os invasores usam esse malware para atingir o objetivo principal de roubar tokens de sess\u00e3o do navegador da v\u00edtima. Com a ajuda de tokens de sess\u00e3o ou cookies, o navegador \u201clembra\u201d o usu\u00e1rio, permitindo que ele evite passar pelo processo de autentica\u00e7\u00e3o completo a cada vez com uma senha e um segundo fator. Ou seja, tokens roubados permitem que cibercriminosos representem v\u00edtimas autenticadas e fa\u00e7am login em suas contas sem as credenciais.<\/p>\n

E o Google com isso?<\/h2>\n

O Google est\u00e1 ciente do problema desde 2019. Em 2021, a empresa publicou um grande estudo intitulado Campanha de phishing direcionada a criadores de conte\u00fado do YouTube com malware para roubo de cookies<\/a>. O Grupo de An\u00e1lises de Amea\u00e7as do Google investigou as t\u00e9cnicas de engenharia social e o malware implantado em tais ataques.<\/p>\n

Ap\u00f3s o estudo, a empresa anunciou que tomou v\u00e1rias medidas para proteger os usu\u00e1rios:<\/p>\n