Ponuda s popustom na više licenci
Baza prijetnji Malware YouTube mreža duhova

YouTube mreža duhova

Do Mezo. Malware. godine
Prevedi na:

Skupina zlonamjernih YouTube računa iskorištava popularnost platforme kako bi zlonamjerni softver širila nesuđenim korisnicima. Oponašajući legitimne tutorijale i softverske propuste te oslanjajući se na metrike angažmana, ovi akteri pretvaraju ono što izgleda kao korisni videozapisi u vektore zaraze.

Rastuća, dugotrajna operacija

Aktivna od 2021., kampanja - koju sigurnosni istraživači sada nazivaju YouTube Ghost Network - postavila je preko 3000 zlonamjernih videozapisa. Količina se ove godine utrostručila, što je prisililo Google da ukloni većinu uvredljivog materijala. Unatoč uklanjanjima, opseg operacije i modularni dizajn omogućuju joj brzu regeneraciju.

Kako shema funkcionira: Povjerenje kao oružje

Napadači otimaju legitimne kanale ili stvaraju nove te zamjenjuju ili prenose videozapise koji reklamiraju piratske aplikacije, varalice za igre (posebno varalice za Roblox) ili crackirani softver. Ovi videozapisi često se pojavljuju kao uglađeni vodiči i koriste vidljive signale povjerenja, velik broj pregleda, lajkova i pozitivne komentare kako bi uvjerili gledatelje da je sadržaj siguran. Mnogi zaraženi videozapisi prikupili su stotine tisuća pregleda (prijavljeni rasponi: ~147 tisuća – 293 tisuće), što mamac čini posebno učinkovitim.

Otporna infrastruktura temeljena na ulogama

Snaga mreže proizlazi iz njezine strukture vođene ulogama: kompromitiranim računima dodjeljuju se specifične operativne dužnosti tako da kampanja može nastaviti čak i kada su pojedinačni računi zabranjeni. Ova arhitektura pomaže u održavanju kontinuiteta i otežava sanaciju.

Vrste promatranih računa uključuju:

Video računi : Prenesite videozapise mamaca i postavite poveznice za preuzimanje u opise, prikvačene komentare ili ugrađene u video vodič.

Objavljivanje postova : Objavljujte postove ili poruke zajednice koje vode na vanjske stranice.

Interakcija računa : Dodajte lajkove i ohrabrujuće komentare kako biste stvorili društveni dokaz i legitimnost.

Lanac isporuke: Kamo vode karike

Klikabilne poveznice u opisima videozapisa, komentarima i objavama preusmjeravaju gledatelje na servise za hosting datoteka (MediaFire, Dropbox, Google Drive) ili na phishing/landing stranice hostirane na besplatnim platformama (Google Sites, Blogger, Telegraph). Ta odredišta često koriste skraćivače URL-ova kako bi prikrila krajnju metu, koja često povezuje na dodatne stranice koje u konačnici isporučuju instalacijske ili učitavačke programe.

Opažene porodice zlonamjernog softvera i učitavači

Istraživači su povezali mrežu s više obitelji za krađu informacija i programima za učitavanje i preuzimanje temeljenim na Node.js-u, kao što su:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, plus razni Node.js učitavači.

Konkretni primjeri zlostavljanja

Kanal pod nazivom @Sound_Writer (otprilike 9.690 pretplatnika) bio je kompromitiran više od godinu dana i korišten je za objavljivanje videa povezanih s kriptovalutama koji su koristili Rhadamanthys.

Kanal pod nazivom @Afonesio1 (oko 129 000 pretplatnika) je napadnut 3. prosinca 2024. i ponovno 5. siječnja 2025. kako bi se objavio video koji nudi krekirani Adobe Photoshop; distribuirani MSI je isporučivao Hijack Loader, koji je zauzvrat instalirao Rhadamanthys.

Zašto Ghost mreže tako dobro funkcioniraju

Ove kampanje uspijevaju jer prenamjenjuju vlastite alate za angažman platforme kako bi signalizirali legitimnost. Postavka temeljena na ulogama omogućuje brzu zamjenu računa i nisku operativnu fluktuaciju, tako da čak i kada vlasnici platforme uklone sadržaj, cjelokupna kampanja preživljava. Ghost Networks su jasan primjer kako se akteri prijetnji prilagođavaju iskorištavanjem normalnih društvenih signala i značajki platforme kao oružja.

Širi trend: Platforme kao kanali isporuke

YouTube nije jedinstven slučaj zlouporabe - napadači već dugo koriste otete ili novokreirane račune za objavljivanje sadržaja u stilu tutorijala koji žrtve usmjerava na zlonamjerne poveznice. Druge legitimne usluge i oglasne mreže (tražilice, hostovi datoteka, web-mjesta za hosting koda poput GitHuba) također su zloupotrijebljene kao dio distribuiranih lanaca isporuke (na primjer, povezani model Stargazers Ghost Network).

Što bi sigurnosni timovi i korisnici trebali učiniti

Praktični koraci za smanjenje rizika:

  • Neželjene 'crackirane' softvere i preuzimanja varanja tretirajte kao visokorizične; preferirajte web-stranice dobavljača i službene trgovine.
  • Prije preuzimanja provjerite poveznice izvan platforme; izbjegavajte praćenje skraćenih URL-ova bez provjere njihovog odredišta.
  • Pojačajte detekciju obitelji kradljivaca i Node.js učitavača na razini mreže i krajnjih točaka; pratite sumnjivo ponašanje preuzimanja s uobičajenih pružatelja usluga hostinga datoteka.
  • Educirajte korisnike da ne vjeruju znakovima društvene zaštite (pregledi, lajkovi, komentari) kada prate preuzimanje softvera.
  • Sanirajte kompromitirane kanale skeniranjem neobičnih prijenosa i rotirajućih vjerodajnica te provodite višefaktorsku autentifikaciju za kreatore.

Završna napomena

YouTube Ghost Network ilustrira vještinu modernih napadača u kombiniranju društvenog inženjeringa s mehanikom platforme. Budući da operacija iskorištava signale povjerenja i modularnu strukturu računa, branitelji moraju kombinirati edukaciju korisnika, budnost platforme i tehničke kontrole kako bi prekinuli lanac isporuke i smanjili površinu prijetnje.

U trendu

Nagledanije

Učitavam...