Rabattilbud med flere licenser
Trusseldatabase Malware YouTube Ghost Network

YouTube Ghost Network

Med Mezo i Malware
Oversæt til:

En klynge af ondsindede YouTube-konti har udnyttet platformens popularitet til at sende malware til intetanende brugere. Ved at efterligne legitimt indhold fra vejledninger og softwarecracks og læne sig op ad engagementsmålinger forvandler disse aktører, hvad der ligner nyttige videoer, til infektionsvektorer.

En voksende, langvarig operation

Kampagnen – nu døbt YouTube Ghost Network af sikkerhedsforskere – har været aktiv siden 2021 og har uploadet over 3.000 ondsindede videoer. Mængden steg kraftigt i år og blev omtrent tredoblet, hvilket tvang Google til at fjerne størstedelen af det stødende materiale. Trods fjernelser tillader operationens skala og modulære design, at den hurtigt kan regenereres.

Sådan fungerer ordningen: Tillid som et våben

Angribere kaprer legitime kanaler eller opretter nye og erstatter eller uploader videoer, der reklamerer for piratkopierede applikationer, spilsnydekoder (især Roblox-snydekoder) eller cracket software. Disse videoer fremstår ofte som polerede tutorials og bruger synlige tillidssignaler, et højt antal visninger, likes og positive kommentarer for at overbevise seerne om, at indholdet er sikkert. Mange inficerede videoer har samlet hundredtusindvis af visninger (rapporterede intervaller: ~147k-293k), hvilket gør lokkemidlet særligt effektivt.

En rollebaseret, robust infrastruktur

Netværkets styrke kommer fra dets rollebaserede struktur: kompromitterede konti tildeles specifikke operationelle opgaver, så kampagnen kan fortsætte, selv når individuelle konti er udelukket. Denne arkitektur hjælper med at opretholde kontinuitet og gør afhjælpning vanskeligere.

Typer af observerede konti omfatter:

Videokonti : Upload lokkevideoer og placer downloadlinks i beskrivelser, fastgjorte kommentarer eller indlejret i videogennemgangen.

Indlægskonti : Publicer fællesskabsindlæg eller beskeder, der linker til eksterne sider.

Interager med konti : Tilføj likes og opmuntrende kommentarer for at skabe socialt bevis og legitimitet.

Leveringskæde: Hvor leddene fører hen

Klikbare links i videobeskrivelser, kommentarer og opslag omdirigerer seere til filhostingtjenester (MediaFire, Dropbox, Google Drive) eller til phishing-/landingssider, der hostes på gratis platforme (Google Sites, Blogger, Telegraph). Disse destinationer bruger ofte URL-forkortere til at skjule det endelige mål, som ofte linker til yderligere sider, der i sidste ende leverer installations- eller indlæsningsprogrammer.

Observerede malwarefamilier og indlæsere

Forskere har knyttet netværket til flere informationsstjælende familier og Node.js-baserede indlæsere og downloadere, såsom:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, plus forskellige Node.js-loadere.

Konkrete eksempler på misbrug

En kanal kaldet @Sound_Writer (ca. 9.690 abonnenter) var kompromitteret i mere end et år og blev brugt til at hoste kryptovaluta-relaterede videoer, der implementerede Rhadamanthys.

Kanalen @Afonesio1 (omkring 129.000 abonnenter) blev kapret den 3. december 2024 og igen den 5. januar 2025 for at poste en video, der tilbød en cracket Adobe Photoshop; den distribuerede MSI leverede Hijack Loader, som igen installerede Rhadamanthys.

Hvorfor Ghost Networks fungerer så godt

Disse kampagner lykkes, fordi de genbruger platformens egne engagementværktøjer for at signalere legitimitet. Den rollebaserede opsætning muliggør hurtig udskiftning af konti og lav operationel churn, så selv når platformsejere fjerner indhold, overlever den samlede kampagne. Ghost Networks er et klart eksempel på, hvordan trusselsaktører tilpasser sig ved at gøre normale sociale signaler og platformfunktioner til et våben.

En større tendens: Platforme som leveringskanaler

YouTube er ikke enestående i misbrug – angribere har længe brugt kaprede eller nyoprettede konti til at poste indhold i vejledningsstil, der kanaliserer ofre til ondsindede links. Andre legitime tjenester og annoncenetværk (søgemaskiner, filhosts, kodehostingsider som GitHub) er også blevet misbrugt som en del af distribuerede leveringskæder (for eksempel den relaterede Stargazers Ghost Network-model).

Hvad sikkerhedsteams og brugere bør gøre

Praktiske trin til at reducere risikoen:

  • Behandl uopfordret 'cracket' software og snydekoder som højrisiko; foretræk leverandørsider og officielle butikker.
  • Bekræft links uden for platformen før download; undgå at følge forkortede URL'er uden at kontrollere deres destination.
  • Hærd detektion af stealer-familier og Node.js-loadere på netværks- og endpoint-niveau; overvåg for mistænkelig downloadadfærd fra almindelige filhosts.
  • Oplys brugerne til at mistro sociale beviser (visninger, likes, kommentarer), når de ledsager softwaredownloads.
  • Afhjælp kompromitterede kanaler ved at scanne for usædvanlige uploads og roterende loginoplysninger, og håndhæv multifaktorgodkendelse for skabere.

    • Afsluttende bemærkning

    YouTube Ghost Network illustrerer moderne angriberes evne til at kombinere social engineering med platformmekanikker. Fordi operationen udnytter tillidssignaler og en modulær kontostruktur, skal forsvarere kombinere brugeruddannelse, platformovervågning og tekniske kontroller for at afbryde leveringskæden og reducere trusselsoverfladen.

    Trending

    Mest sete

    Indlæser...