Pesquisadores de segurança da Bitdefender identificaram e monitoraram uma persistente e elaborada campanha hacker iniciada em 2024. Inicialmente divulgada via Facebook Ads, a fraude que promete acesso gratuito à versão premium da plataforma de trading TradingView agora se expandiu para o YouTube e Google Ads.
O ataque se sofisticou ao ponto de os hackers invadirem a conta de anunciante da Google de uma agência de design na Noruega para veicular publicidade falsa no YouTube. O canal atingido teve todo o conteúdo original deletado e foi completamente modificado para imitar a identidade visual da TradingView, utilizando inclusive o selo de verificação do YouTube para conferir falsa legitimidade.
O Golpe Publicitário Elaborado
A transformação do canal de YouTube roubado foi minuciosa, usando os logos, banners e elementos visuais da TradingView real. Embora não contivesse vídeos próprios, ele exibia playlists do canal original. Curiosamente, todos os vídeos da campanha eram não listados e o canal tinha pouquíssimas visualizações públicas, o que dificultava a moderação da plataforma.
Um vídeo falso, intitulado “Trading View Premium Grátis — Método Secreto Que Eles Não Querem Que Você Saiba”, chegou a angariar mais de 182 mil visualizac¸o˜es graças a campanhas agressivas de publicidade. O vídeo em si apenas mostrava o aplicativo legítimo, mas a descrição continha o link de download para um executável malicioso. A suspeita é que o acesso inicial ao canal tenha ocorrido através de um e-mail de phishing direcionado a alguém da equipe.
Malware em Evolução e Fugas de Detecção
O malware também evoluiu, incorporando um arquivo inicial de 700 MB para baixar os vírus – um tamanho incomum que serve para evitar a análise automatizada por ferramentas de segurança. Ele também realiza uma verificação anti-segurança, checando se o computador está usando máquina virtual ou outras medidas de proteção, para só então prosseguir com o ataque. Se o alvo for inválido, é redirecionado para uma página inofensiva.
O código malicioso abandonou requests HTTP simples e agora usa websockets, além de ofuscar scripts de front-end para dificultar a investigação por antivírus. O malware final utiliza um arquivo chamado Trojan.Agent.GOSL (também conhecido como JSCEAL ou WeevilProxy), que possui capacidades de acesso remoto e roubo de dados sensíveis.
O Trojan permite que os atacantes capturem telas, registrem tudo que é digitado (keylogging) e roubem carteiras de criptomoeda. O vírus também passou a usar uma tarefa no Windows chamada EdgeResourcesInstallerV12-issg para adicionar exceções no Windows Defender e escapar da detecção.
Os pesquisadores ligaram até 500 domínios e subdomínios à infraestrutura dos hackers, notando ainda amostras de versões do malware para macOS e Android. Os ataques são globais, veiculados em diversas línguas como inglês, vietnamita e tailandês.
Como se Proteger
Para evitar cair no golpe:
- Desconfie de Publicidades: Ao ver promoções no YouTube, verifique o @ do canal e o número de inscritos. Verifique se o vídeo está não listado.
- Fonte Oficial: Sempre baixe softwares e aplicativos diretamente do site oficial ou lojas de aplicativos verificadas, nunca de links de terceiros ou publicidades.
- Denuncie: Reporte imediatamente qualquer atividade suspeita ao YouTube ou Google Ads.
