Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware YouTube Ghost Network

YouTube Ghost Network

Mezo -ra Malware-ben
Fordítás ide:

Egy csoport rosszindulatú YouTube-fiók kihasználja a platform népszerűségét, hogy rosszindulatú programokat juttasson el gyanútlan felhasználókhoz. Legitim oktatóanyagok és szoftverfeltörések utánzásával, valamint az elköteleződési mutatókra támaszkodva ezek a szereplők a látszólag hasznos videókat fertőzési vektorokká alakítják.

Egy növekvő, hosszú ideje működő vállalkozás

A 2021 óta aktív kampány – amelyet a biztonsági kutatók mostanra YouTube Ghost Networknek neveztek el – több mint 3000 kártékony videót töltött fel. A mennyiség idén megugrott, nagyjából megháromszorozódott, ami arra kényszerítette a Google-t, hogy eltávolítsa a sértő anyagok nagy részét. Az eltávolítások ellenére a művelet mérete és moduláris felépítése lehetővé teszi a gyors regenerálódást.

Hogyan működik a rendszer: A bizalom mint fegyver

A támadók legitim csatornákat ragadnak le, vagy újakat hoznak létre, és olyan videókat töltenek fel vagy cserélnek le, amelyek kalózalkalmazásokat, játékcsalokat (nevezetesen Roblox csalásokat) vagy feltört szoftvereket hirdetnek. Ezek a videók gyakran kidolgozott oktatóanyagokként jelennek meg, és látható bizalomjelzéseket, magas megtekintések számát, lájkokat és pozitív hozzászólásokat használnak, hogy meggyőzzék a nézőket a tartalom biztonságosságáról. Sok fertőzött videó több százezer megtekintést gyűjtött össze (a jelentett tartományok: ~147 ezer–293 ezer), ami különösen hatékonnyá teszi a csalit.

Szerepköralapú, rugalmas infrastruktúra

A hálózat ereje a szerepkörökön alapuló struktúrájából fakad: a feltört fiókokhoz konkrét működési feladatok tartoznak, így a kampány akkor is folytatódhat, ha az egyes fiókokat kitiltják. Ez az architektúra segít fenntartani a folytonosságot, és megnehezíti a helyreállítást.

A megfigyelt fióktípusok a következők:

Videófiókok : Tölts fel csalivideókat, és helyezd el a letöltési linkeket a leírásokban, rögzített hozzászólásokban vagy beágyazva a videós útmutatóba.

Bejegyzésfiókok : Közzéteszhet közösségi bejegyzéseket vagy üzeneteket, amelyek külső oldalakra mutatnak.

Interact-fiókok : Lájkok és bátorító hozzászólások hozzáadása a társadalmi bizonyíték és a legitimitás növelése érdekében.

Szállítási lánc: Hová vezetnek a láncszemek

A videóleírásokban, hozzászólásokban és bejegyzésekben található kattintható linkek fájltárhely-szolgáltatásokra (MediaFire, Dropbox, Google Drive) vagy ingyenes platformokon (Google Sites, Blogger, Telegraph) üzemeltetett adathalász/céloldalakra irányítják át a nézőket. Ezek a célhelyek gyakran URL-rövidítőket használnak a végső cél elrejtésére, ami gyakran további oldalakra mutat, amelyek végül telepítőket vagy betöltőket eredményeznek.

Megfigyelt kártevőcsaládok és betöltők

A kutatók a hálózatot számos információlopó családhoz és Node.js-alapú betöltő- és letöltőprogramhoz kötötték, például:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, plusz különféle Node.js betöltők.

A bántalmazás konkrét példái

Egy @Sound_Writer nevű csatorna (kb. 9690 feliratkozóval) több mint egy éven át fel volt törve, és kriptovalutákkal kapcsolatos, a Rhadamanthyst felhasználót is felhasználó videókat tárolt rajta.

Az @Afonesio1 nevű csatornát (körülbelül 129 000 feliratkozóval) 2024. december 3-án, majd 2025. január 5-én is feltörték, hogy egy feltört Adobe Photoshopot kínáló videót tegyenek közzé; a terjesztett MSI a Hijack Loader programot szállította, amely viszont telepítette a Rhadamanthys vírust.

Miért működnek olyan jól a szellemhálózatok?

Ezek a kampányok azért sikeresek, mert a platform saját elköteleződési eszközeit a legitimitás jelzésére használják fel. A szerepköralapú felépítés lehetővé teszi a fiókok gyors cseréjét és az alacsony működési fluktuációt, így még akkor is, ha a platformtulajdonosok eltávolítanak tartalmat, a teljes kampány fennmarad. A szellemhálózatok egyértelmű példái annak, hogyan alkalmazkodnak a fenyegetéseket elkövető szereplők a szokásos közösségi jelek és platformfunkciók fegyverként való felhasználásával.

Egy nagyobb trend: Platformok, mint kézbesítési csatornák

A YouTube nem egyedülálló a visszaélések terén – a támadók régóta használnak feltört vagy újonnan létrehozott fiókokat oktatóanyag-stílusú tartalmak közzétételére, amelyek rosszindulatú linkekre terelik az áldozatokat. Más legitim szolgáltatásokat és hirdetési hálózatokat (keresőmotorok, fájltárhelyszolgáltatók, kódtárhelyszolgáltatók, mint például a GitHub) is elkövettek visszaélések az elosztott kézbesítési láncok részeként (például a kapcsolódó Stargazers Ghost Network modell).

Mit kell tenniük a biztonsági csapatoknak és a felhasználóknak?

Gyakorlati lépések a kockázatok csökkentésére:

  • A kéretlen „feltört” szoftvereket és csaló letöltéseket kezelje magas kockázatúként; előnyben részesítse a gyártók weboldalait és a hivatalos áruházakat.
  • Letöltés előtt ellenőrizd a platformon kívüli linkeket; kerüld a rövidített URL-ek követését a célhely ellenőrzése nélkül.
  • Megerősített észlelés a lopócsaládok és a Node.js betöltők esetében hálózati és végponti szinten; gyanús letöltési viselkedés figyelése gyakori fájlszolgáltatóktól.
  • Tanítsd meg a felhasználókat, hogy ne bízzanak a közösségi médiában megjelenő jelzésekben (megtekintések, lájkok, hozzászólások), amikor azok szoftverletöltéseket kísérnek.
  • A feltört csatornák problémáit szokatlan feltöltések keresésével és hitelesítő adatok cseréjével orvosolhatod, valamint többtényezős hitelesítést kényszeríthetsz ki az alkotók számára.

    • Záró megjegyzés

    A YouTube Ghost Network esete jól mutatja be a modern támadók szakértelmét a társadalmi manipuláció és a platformmechanika ötvözésében. Mivel a művelet a bizalmi jeleket és a moduláris fiókstruktúrát használja ki, a védőknek a felhasználók oktatását, a platform éberségét és a technikai ellenőrzéseket kell kombinálniuk a kézbesítési lánc megszakítása és a fenyegetettség csökkentése érdekében.

    Felkapott

    FIGYELMEZTETÉS: RENDSZERERŐFORRÁS-SZIVÁRGÁSOS Csalás

    Adathalászat, Spam
    Kiberbiztonsági kutatók azonosítottak egy „FIGYELMEZTETÉS: RENDSZERERŐFORRÁS-SZIVÁRGÁS” néven ismert csalárd rendszert, amely hamis rendszerriasztásokat használ a felhasználók félrevezetésére. Bár a rendszer mögött álló oldal egy legitim alkalmazást népszerűsít, az ijesztésen alapuló kézbesítési módszer megtévesztő, és úgy tervezték, hogy manipulálja a felhasználókat, félelemből cselekedjenek....

    Legnézettebb

    Betöltés...