Pesquisadores de cibersegurança identificaram uma campanha de malware sofisticada que visa criadores de conteúdo no YouTube por meio de Spear Phishing. Os cibercriminosos utilizam propostas falsas de parcerias com marcas conhecidas, como a plataforma Pictory, para enganar as vítimas e induzi-las a executar scripts maliciosos usando uma técnica conhecida como Clickflix.

Os e-mails enviados simulam propostas de colaboração profissional, incluindo documentos falsos de pagamento e contratos. Ao clicar no link, a vítima é direcionada a um Google Docs com instruções para baixar um arquivo Word, que na verdade redireciona para uma página falsa da Microsoft. Essa página exibe uma mensagem de erro informando a ausência de uma extensão do Word Online e oferece um botão “How to Fix”, que copia um comando PowerShell disfarçado para a área de transferência. Quando colado no terminal, esse comando executa o malware.

O script PowerShell decodifica conteúdo Base64, cria persistência com tarefas agendadas e coleta informações como credenciais de navegadores, cookies, históricos e dados de carteiras de criptomoedas. Ele também acessa navegadores baseados em Mozilla e Chromium, incluindo Chrome, Firefox, Opera e Brave. O malware Lumma Stealer, utilizado nessa campanha, se conecta a servidores de comando e controle (C2) com domínios como what-is-game.xyz e findfakesnake.xyz para exfiltrar os dados roubados. A investigação também revelou o uso de infraestrutura na nuvem, como Google Drive, e um e-mail associado a um possível operador da campanha.