רשת רוחות יוטיוב
קבוצה של חשבונות יוטיוב זדוניים מנצלת את הפופולריות של הפלטפורמה כדי לדחוף תוכנות זדוניות למשתמשים תמימים. על ידי חיקוי תוכן לגיטימי של הדרכות ותוכן פיצוח תוכנה והסתמכות על מדדי מעורבות, גורמים אלה הופכים את מה שנראה כמו סרטונים מועילים לווקטורי הדבקה.
תוכן העניינים
פעילות מתפתחת ומתמשכת
הקמפיין, הפעיל מאז 2021 – שכונה כיום על ידי חוקרי אבטחה "רשת הרוחות של יוטיוב" – העלה למעלה מ-3,000 סרטונים זדוניים. כמות הסרטונים זינקה השנה, כמעט פי שלושה, מה שאילץ את גוגל להסיר את עיקר החומר הפוגעני. למרות ההסרות, היקף הפעילות והעיצוב המודולרי שלה מאפשרים לה להתחדש במהירות.
כיצד התוכנית עובדת: אמון כנשק
תוקפים חוטפים ערוצים לגיטימיים או יוצרים חדשים ומחליפים או מעלים סרטונים המפרסמים אפליקציות פיראטיות, צ'יטים למשחקים (בעיקר צ'יטים של Roblox) או תוכנות פרוצות. סרטונים אלה מופיעים לעתים קרובות כמדריכים מלוטשים ומשתמשים באותות אמון גלויים, ספירת צפיות גבוהה, לייקים ותגובות חיוביות, כדי לשכנע את הצופים שהתוכן בטוח. סרטונים נגועים רבים צברו מאות אלפי צפיות (טווחים מדווחים: ~147k-293k), מה שהופך את הפיתוי ליעיל במיוחד.
תשתית גמישה מבוססת תפקידים
חוזקה של הרשת נובע מהמבנה שלה המונחה על ידי תפקידים: חשבונות שנפרצו מקבלים משימות תפעוליות ספציפיות, כך שהקמפיין יכול להימשך גם כאשר חשבונות בודדים נחסמים. ארכיטקטורה זו מסייעת לשמור על המשכיות ומקשה על תיקונים.
סוגי החשבונות שנצפו כוללים:
חשבונות וידאו : העלו סרטוני פיתיון והציבו קישורי הורדה בתיאורים, בתגובות מוצמדות או הטמעו אותם בהדרכת הסרטון.
חשבונות פוסט : פרסום פוסטים או הודעות קהילתיות המקשרים לדפים חיצוניים.
חשבונות אינטראקציה : הוסיפו לייקים ותגובות מעודדות כדי לייצר הוכחה חברתית ולגיטימיות.
שרשרת אספקה: לאן החוליות מובילות
קישורים הניתנים ללחיצה בתיאורי סרטונים, תגובות ופוסטים מפנים את הצופים לשירותי אחסון קבצים (MediaFire, Dropbox, Google Drive) או לדפי פישינג/נחיתה המתארחים בפלטפורמות חינמיות (Google Sites, Blogger, Telegraph). לעתים קרובות, יעדים אלה משתמשים בקיצורי כתובות URL כדי לטשטש את היעד הסופי, שלעתים קרובות מקשרים לדפים נוספים שבסופו של דבר מספקים מתקינים או טוענים.
משפחות תוכנות זדוניות וטוענים שנצפו
חוקרים קישרו את הרשת למספר משפחות של גניבת מידע ולטוענים ומורידים מבוססי Node.js, כגון:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, ועוד מגוון טוענים של Node.js.
דוגמאות קונקרטיות להתעללות
ערוץ בשם @Sound_Writer (כ-9,690 מנויים) היה פרוץ במשך יותר משנה ושימש לאחסון סרטונים הקשורים למטבעות קריפטוגרפיים שפרסו את Rhadamanthys.
ערוץ בשם @Afonesio1 (כ-129,000 מנויים) נחטף ב-3 בדצמבר 2024 ושוב ב-5 בינואר 2025 כדי לפרסם סרטון המציע תוכנת Adobe Photoshop פרוצה; MSI המופצת סיפקה את Hijack Loader, אשר בתורו התקין את Rhadamanthys.
למה רשתות רפאים עובדות כל כך טוב
קמפיינים אלה מצליחים משום שהם משתמשים מחדש בכלי המעורבות של הפלטפורמה עצמה כדי לאותת על לגיטימציה. ההגדרה מבוססת התפקידים מאפשרת החלפה מהירה של חשבונות ותזוזת תפעולית נמוכה, כך שגם כאשר בעלי פלטפורמה מסירים תוכן, הקמפיין כולו שורד. רשתות רפאים הן דוגמה מובהקת לאופן שבו גורמי איום מסתגלים על ידי שימוש באותות חברתיים רגילים ותכונות פלטפורמה כנשק.
מגמה רחבה יותר: פלטפורמות כערוצי משלוח
יוטיוב אינו ייחודי בכך שהוא מנוצל לרעה - תוקפים משתמשים זה מכבר בחשבונות שנחטפו או שנוצרו לאחרונה כדי לפרסם תוכן בסגנון הדרכה שמפנה קורבנות לקישורים זדוניים. שירותים לגיטימיים אחרים ורשתות פרסום (מנועי חיפוש, מארחי קבצים, אתרי אירוח קוד כמו GitHub) מנוצלים גם הם כחלק משרשראות אספקה מבוזרות (לדוגמה, מודל רשת הרפאים של Stargazers).
מה צוותי אבטחה ומשתמשים צריכים לעשות
צעדים מעשיים להפחתת הסיכון:
- התייחסו להורדות תוכנות "פרוצות" לא רצויות והורדות של צ'יטים כאל תוכנות בעלות סיכון גבוה; העדיפו אתרי ספקים וחנויות רשמיות.
- יש לבדוק קישורים מחוץ לפלטפורמה לפני ההורדה; יש להימנע ממעקב אחר כתובות URL מקוצרות מבלי לבדוק את יעדן.
הערה מסכמת
רשת רוחות הרפאים של YouTube ממחישה את יכולתם של תוקפים מודרניים לשלב הנדסה חברתית עם מכניקת פלטפורמה. מכיוון שהפעולה מנצלת אותות אמון ומבנה חשבון מודולרי, המגנים חייבים לשלב חינוך משתמשים, ערנות פלטפורמה ובקרות טכניות כדי להפריע לשרשרת האספקה ולהפחית את משטח האיום.
