Anúncios do Google usados ​​para espalhar Trojan disfarçados de TradingView Premium

Pesquisadores de segurança alertam que uma campanha publicitária maliciosa que vem enganando criadores de conteúdo e usuários desavisados ​​para que baixem softwares nocivos, oferecendo "acesso gratuito" ao TradingView Premium, expandiu drasticamente suas operações.

Esta campanha em andamento, monitorada pelo Bitdefender Labs no ano passado, teria saído dos anúncios do Facebook do Meta e passou a aparecer no Google Ads e no YouTube, colocando muito mais usuários em risco.

Esta campanha foi relatada anteriormente pelo Hackread.com por explorar anúncios do Facebook usando sites falsos de criptomoedas e imagens de celebridades para espalhar malware, mas agora evoluiu suas táticas.

Pesquisas revelam que os criminosos cibernéticos por trás desse ataque são altamente organizados, usando mais de 500 endereços de sites diferentes e publicando milhares de anúncios maliciosos todos os dias em diferentes idiomas (principalmente inglês, vietnamita e tailandês).

Eles veiculam seus anúncios assumindo o controle de contas comerciais legítimas e verificadas no Google e no YouTube, incluindo a conta de anunciante do Google sequestrada de uma agência de design na Noruega. Para sua informação, o TradingView Premium é um serviço pago que oferece ferramentas e recursos avançados para análise de negociações financeiras.

Para parecerem reais, os golpistas sequestram um canal verificado do YouTube, excluem todo o seu conteúdo original e o renomeiam para se parecer exatamente com a página oficial do TradingView, incluindo os logotipos e banners corretos. Eles até copiam playlists do canal real para que o falso pareça ativo, abusando do selo de verificação para enganar os usuários e fazê-los presumir autenticidade.

Eles então usam anúncios pagos para divulgar vídeos especiais que ficam ocultos do público, chamados de vídeos não listados, para evitar a detecção. Um desses vídeos, intitulado "Free TradingView Premium – Método Secreto que Eles Não Querem que Você Saiba", obteve mais de 182.000 visualizações em apenas alguns dias por meio dessa publicidade agressiva.

No entanto, uma análise mais detalhada revela sinais de alerta, como um identificador de canal diferente (não @TradingView) e uma baixa contagem geral de visualizações registradas, o que seria impossível para a popular plataforma de negociação.

O objetivo principal desta campanha parece ser fazer com que os usuários baixem um arquivo perigoso disfarçado de aplicativo premium gratuito. Este arquivo é, na verdade, um tipo de spyware chamado Trojan.Agent.GOSL , que pode controlar remotamente o computador da vítima. Este programa foi projetado para roubar informações altamente confidenciais, incluindo senhas, dados pessoais e detalhes de carteiras de criptomoedas .

Compartilhado com o Hackread.com, esta pesquisa alerta os criadores de conteúdo que ter suas contas comerciais comprometidas não só prejudica sua reputação, mas também permite que golpistas assumam o controle do canal do YouTube conectado e verificado e o usem como uma arma.

É por isso que você deve sempre baixar softwares de sites oficiais. A Bitdefender recomenda que os usuários verifiquem cuidadosamente o identificador do canal e a contagem de inscritos, e considerem qualquer anúncio prometendo acesso premium gratuito a um aplicativo normalmente pago como um grande sinal de alerta.