شبکه ارواح یوتیوب

گروهی از حساب‌های کاربری مخرب یوتیوب با سوءاستفاده از محبوبیت این پلتفرم، بدافزارهایی را به کاربران ناآگاه ارسال می‌کنند. این افراد با تقلید از آموزش‌های قانونی و محتوای کرک نرم‌افزار و تکیه بر معیارهای تعامل، ویدیوهایی را که به نظر مفید می‌رسند، به حامل‌های آلودگی تبدیل می‌کنند.

یک عملیات رو به رشد و طولانی مدت

این کمپین که از سال ۲۰۲۱ فعال بوده و اکنون توسط محققان امنیتی به شبکه شبح یوتیوب معروف شده است، بیش از ۳۰۰۰ ویدیوی مخرب آپلود کرده است. حجم این ویدیوها امسال به شدت افزایش یافته و تقریباً سه برابر شده است، که گوگل را مجبور به حذف بخش عمده‌ای از محتوای مخرب کرد. علیرغم حذف ویدیوها، مقیاس و طراحی ماژولار این عملیات به آن اجازه می‌دهد تا به سرعت بازسازی شود.

نحوه‌ی عملکرد این طرح: اعتماد به عنوان یک سلاح

مهاجمان کانال‌های قانونی را می‌ربایند یا کانال‌های جدیدی ایجاد می‌کنند و ویدیوهایی را که برنامه‌های غیرقانونی، تقلب‌های بازی (به‌ویژه تقلب‌های Roblox) یا نرم‌افزارهای کرک‌شده را تبلیغ می‌کنند، جایگزین یا آپلود می‌کنند. این ویدیوها اغلب به عنوان آموزش‌های بی‌نقص ظاهر می‌شوند و از سیگنال‌های اعتماد قابل مشاهده، تعداد بازدید بالا، لایک‌ها و نظرات مثبت استفاده می‌کنند تا بینندگان را متقاعد کنند که محتوا ایمن است. بسیاری از ویدیوهای آلوده صدها هزار بازدید (محدوده گزارش شده: حدود ۱۴۷ هزار تا ۲۹۳ هزار) جمع‌آوری کرده‌اند که این امر باعث می‌شود این فریب به طور ویژه مؤثر باشد.

زیرساختی منعطف و مبتنی بر نقش

قدرت این شبکه از ساختار نقش‌محور آن ناشی می‌شود: به حساب‌های کاربری آسیب‌دیده وظایف عملیاتی خاصی محول می‌شود تا حتی در صورت مسدود شدن حساب‌های کاربری، کمپین بتواند ادامه یابد. این معماری به حفظ تداوم کمک می‌کند و اصلاح را دشوارتر می‌سازد.

انواع حساب‌های مشاهده‌شده عبارتند از:

حساب‌های ویدیویی : ویدیوهای طعمه را آپلود کنید و لینک‌های دانلود را در توضیحات، نظرات پین شده یا در راهنمای ویدیویی قرار دهید.

حساب‌های کاربری پست : پست‌ها یا پیام‌های انجمن را که به صفحات خارجی پیوند دارند، منتشر کنید.

حساب‌های کاربری تعاملی : لایک‌ها و نظرات تشویقی را برای ایجاد اعتبار و مشروعیت اجتماعی اضافه کنید.

زنجیره تحویل: جایی که حلقه‌ها به هم متصل می‌شوند

لینک‌های قابل کلیک در توضیحات ویدیو، نظرات و پست‌ها، بینندگان را به سرویس‌های میزبانی فایل (مدیافایر، دراپ‌باکس، گوگل درایو) یا به صفحات فیشینگ/لندینگ که در پلتفرم‌های رایگان (گوگل سایتز، بلاگر، تلگراف) میزبانی می‌شوند، هدایت می‌کنند. اغلب، این مقاصد از کوتاه‌کننده‌های URL برای مبهم کردن هدف نهایی استفاده می‌کنند که اغلب به صفحات اضافی پیوند می‌خورد که در نهایت نصب‌کننده‌ها یا بارگذاری‌کننده‌ها را ارائه می‌دهند.

خانواده‌ها و لودرهای بدافزار مشاهده شده

محققان این شبکه را به چندین خانواده‌ی سرقت اطلاعات و لودرها و دانلودکننده‌های مبتنی بر Node.js مرتبط دانسته‌اند، مانند:

دزد لوما، دزد رادامانتیز ، دزد سی، دزد ردلاین ، دزد فمدرون، به علاوه‌ی لودرهای مختلف نودجی‌اس.

نمونه‌های عینی سوءاستفاده

کانالی به نام @Sound_Writer (با تقریباً ۹۶۹۰ مشترک) بیش از یک سال در معرض خطر قرار داشت و از آن برای میزبانی ویدیوهای مرتبط با ارزهای دیجیتال که از Rhadamanthys استفاده می‌کردند، استفاده می‌شد.

کانالی با نام @Afonesio1 (با حدود ۱۲۹۰۰۰ مشترک) در ۳ دسامبر ۲۰۲۴ و دوباره در ۵ ژانویه ۲۰۲۵ مورد حمله قرار گرفت تا ویدیویی منتشر کند که در آن نسخه کرک‌شده‌ی ادوبی فتوشاپ پیشنهاد می‌شد؛ MSI توزیع‌شده، Hijack Loader را اجرا کرد که به نوبه خود Rhadamanthys را نصب کرد.

چرا شبکه‌های ارواح اینقدر خوب کار می‌کنند؟

این کمپین‌ها به این دلیل موفق می‌شوند که از ابزارهای تعاملی خود پلتفرم برای نشان دادن مشروعیت استفاده می‌کنند. تنظیمات مبتنی بر نقش، امکان جایگزینی سریع حساب‌ها و ریزش عملیاتی کم را فراهم می‌کند، بنابراین حتی وقتی صاحبان پلتفرم محتوا را حذف می‌کنند، کل کمپین پابرجا می‌ماند. شبکه‌های شبح نمونه بارزی از چگونگی سازگاری بازیگران تهدید با استفاده از سیگنال‌های اجتماعی عادی و ویژگی‌های پلتفرم به عنوان سلاح هستند.

یک روند بزرگتر: پلتفرم‌ها به عنوان کانال‌های تحویل

یوتیوب تنها سایتی نیست که مورد سوءاستفاده قرار می‌گیرد - مهاجمان مدت‌هاست که از حساب‌های کاربری ربوده شده یا تازه ایجاد شده برای انتشار محتوای آموزشی استفاده می‌کنند که قربانیان را به لینک‌های مخرب هدایت می‌کند. سایر سرویس‌ها و شبکه‌های تبلیغاتی قانونی (موتورهای جستجو، میزبان‌های فایل، سایت‌های میزبانی کد مانند GitHub) نیز به عنوان بخشی از زنجیره‌های توزیع‌شده مورد سوءاستفاده قرار گرفته‌اند (به عنوان مثال، مدل مرتبط شبکه شبح Stargazers).

کاری که تیم‌های امنیتی و کاربران باید انجام دهند

گام‌های عملی برای کاهش ریسک:

• دانلود نرم‌افزارهای «کرک‌شده» و تقلب‌های ناخواسته را پرخطر تلقی کنید؛ سایت‌های فروشنده و فروشگاه‌های رسمی را ترجیح دهید.
• قبل از دانلود، لینک‌های خارج از پلتفرم را تأیید کنید؛ از دنبال کردن URLهای کوتاه‌شده بدون بررسی مقصد آنها خودداری کنید.

نکته پایانی

شبکه‌ی شبح یوتیوب، تسلط مهاجمان مدرن را در ترکیب مهندسی اجتماعی با سازوکار پلتفرم نشان می‌دهد. از آنجا که این عملیات از سیگنال‌های اعتماد و ساختار حساب ماژولار سوءاستفاده می‌کند، مدافعان باید آموزش کاربر، هوشیاری پلتفرم و کنترل‌های فنی را برای قطع زنجیره‌ی توزیع و کاهش سطح تهدید ترکیب کنند.