Мрежа от духове на YouTube
Клъстер от злонамерени акаунти в YouTube се възползва от популярността на платформата, за да разпространява зловреден софтуер на нищо неподозиращи потребители. Чрез имитиране на легитимно съдържание с уроци и софтуерни краквания и разчитане на показатели за ангажираност, тези участници превръщат видеоклипове, които изглеждат полезни, във вектори за заразяване.
Съдържание
Разрастваща се, дългосрочна операция
Активна от 2021 г., кампанията — вече наречена от изследователите по сигурността YouTube Ghost Network — е качила над 3000 злонамерени видеоклипа. Обемът им се е увеличил рязко тази година, приблизително утроявайки се, което е принудило Google да премахне по-голямата част от обидното съдържание. Въпреки премахването на съдържанието, мащабът и модулният дизайн на операцията ѝ позволяват бързото ѝ възстановяване.
Как работи схемата: Доверието като оръжие
Атакуващите отвличат легитимни канали или създават нови и заместват или качват видеоклипове, които рекламират пиратски приложения, кодове за игри (особено кодове за Roblox) или кракнат софтуер. Тези видеоклипове често изглеждат като изпипани уроци и използват видими сигнали за доверие, висок брой гледания, харесвания и положителни коментари, за да убедят зрителите, че съдържанието е безопасно. Много заразени видеоклипове са натрупали стотици хиляди гледания (отчетени диапазони: ~147 000–293 000), което прави примамката особено ефективна.
Ролева, устойчива инфраструктура
Силата на мрежата идва от нейната структура, основана на роли: на компрометираните акаунти се възлагат специфични оперативни задачи, така че кампанията може да продължи дори когато отделните акаунти са блокирани. Тази архитектура помага за поддържане на непрекъснатост и прави отстраняването на проблемите по-трудно.
Видовете наблюдавани сметки включват:
Видео акаунти : Качвайте видеоклипове-примамки и поставяйте връзки за изтегляне в описания, закачени коментари или вградени във видео ръководството.
Публикации в акаунти : Публикувайте публикации или съобщения в общността, които водят към външни страници.
Взаимодействие с акаунти : Добавяйте харесвания и окуражаващи коментари, за да създадете социално доказателство и легитимност.
Верига за доставки: Накъде водят звената
Връзките, върху които може да се кликва, във видеоклиповете, коментарите и публикациите пренасочват зрителите към услуги за хостинг на файлове (MediaFire, Dropbox, Google Drive) или към фишинг/целеви страници, хоствани на безплатни платформи (Google Sites, Blogger, Telegraph). Често тези дестинации използват съкращаващи URL адреси, за да скрият крайната цел, която често води към допълнителни страници, които в крайна сметка предоставят инсталатори или зареждащи програми.
Наблюдавани семейства злонамерен софтуер и зареждащи програми
Изследователите са свързали мрежата с множество семейства кражби на информация и програми за зареждане и изтегляне, базирани на Node.js, като например:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, както и различни Node.js товарачи.
Конкретни примери за злоупотреба
Канал, наречен @Sound_Writer (приблизително 9 690 абонати), беше компрометиран повече от година и се използваше за хостване на видеоклипове, свързани с криптовалута, които използваха Rhadamanthys.
Канал с име @Afonesio1 (около 129 000 абонати) беше хакерски атакуван на 3 декември 2024 г. и отново на 5 януари 2025 г., за да публикува видеоклип, предлагащ кракнат Adobe Photoshop; разпространеният MSI доставя Hijack Loader, който от своя страна инсталира Rhadamanthys.
Защо мрежите-призраци работят толкова добре
Тези кампании са успешни, защото пренасочват собствените инструменти за ангажиране на платформата, за да сигнализират за легитимност. Настройката, базирана на роли, позволява бърза подмяна на акаунти и нисък оперативен отлив, така че дори когато собствениците на платформата премахват съдържание, цялостната кампания оцелява. „Мрежите призраци“ са ясен пример за това как злонамерените лица се адаптират, като използват като оръжие нормалните социални сигнали и функциите на платформата.
По-широка тенденция: Платформите като канали за доставка
YouTube не е единственият обект на злоупотреби – нападателите отдавна използват отвлечени или новосъздадени акаунти, за да публикуват съдържание в стил уроци, което насочва жертвите към злонамерени връзки. Други легитимни услуги и рекламни мрежи (търсачки, хостове за файлове, сайтове за хостинг на код като GitHub) също са били обект на злоупотреби като част от разпределени вериги за доставка (например, свързаният модел на Stargazers Ghost Network).
Какво трябва да правят екипите по сигурността и потребителите
Практически стъпки за намаляване на риска:
- Отнасяйте се към нежеланите изтегляния на „кракнат“ софтуер и измамни програми като към високорискови; предпочитайте сайтове на доставчици и официални магазини.
- Проверявайте връзките извън платформата преди изтегляне; избягвайте да следвате съкратени URL адреси, без да проверявате местоназначението им.
- Подобрете откриването на семейства крадци на вируси и Node.js зареждащи програми на мрежово и крайно ниво; следете за подозрително поведение при изтегляне от често срещани файлови хостинг доставчици.
- Обучете потребителите да не се доверяват на сигналите за социална защита (преглеждания, харесвания, коментари), когато те съпътстват изтеглянията на софтуер.
- Отстранете компрометирани канали, като сканирате за необичайни качвания и ротиращи идентификационни данни, и наложете многофакторно удостоверяване за създателите.
Заключителна бележка
Мрежата YouTube Ghost Network илюстрира умението на съвременните нападатели да съчетават социално инженерство с механиката на платформата. Тъй като операцията използва сигнали за доверие и модулна структура на акаунтите, защитниците трябва да комбинират обучение на потребителите, бдителност на платформата и технически контрол, за да прекъснат веригата за доставка и да намалят повърхността на заплахата.
