Rete fantasma di YouTube
Un gruppo di account YouTube dannosi ha sfruttato la popolarità della piattaforma per diffondere malware a utenti ignari. Imitando tutorial legittimi e contenuti di crack di software e basandosi su metriche di coinvolgimento, questi autori trasformano quelli che sembrano video utili in vettori di infezione.
Sommario
Un’operazione in crescita e di lunga durata
Attiva dal 2021, la campagna, ora soprannominata YouTube Ghost Network dagli esperti di sicurezza, ha caricato oltre 3.000 video dannosi. Quest'anno il volume è aumentato vertiginosamente, quasi triplicando, costringendo Google a rimuovere la maggior parte del materiale offensivo. Nonostante le rimozioni, la portata e la modularità dell'operazione le consentono di rigenerarsi rapidamente.
Come funziona il sistema: la fiducia come arma
Gli aggressori dirottano canali legittimi o ne creano di nuovi e sostituiscono o caricano video che pubblicizzano applicazioni piratate, trucchi per videogiochi (in particolare quelli per Roblox) o software craccati. Questi video spesso si presentano come tutorial ben fatti e utilizzano segnali di fiducia visibili, un elevato numero di visualizzazioni, "Mi piace" e commenti positivi per convincere gli spettatori che il contenuto è sicuro. Molti video infetti hanno accumulato centinaia di migliaia di visualizzazioni (intervalli segnalati: ~147.000-293.000), rendendo l'esca particolarmente efficace.
Un’infrastruttura resiliente e basata sui ruoli
La forza della rete deriva dalla sua struttura basata sui ruoli: agli account compromessi vengono assegnati compiti operativi specifici, in modo che la campagna possa proseguire anche quando singoli account vengono bannati. Questa architettura contribuisce a mantenere la continuità e rende più difficile la risoluzione.
I tipi di account osservati includono:
Account video : carica video esca e inserisci link per il download nelle descrizioni, nei commenti appuntati o incorporati nella guida video.
Account post : pubblica post o messaggi della community che rimandano a pagine esterne.
Account interattivi : aggiungi Mi piace e commenti incoraggianti per creare una prova sociale e legittimità.
Catena di distribuzione: dove conducono i collegamenti
I link cliccabili nelle descrizioni dei video, nei commenti e nei post reindirizzano gli utenti a servizi di file hosting (MediaFire, Dropbox, Google Drive) o a pagine di phishing/landing ospitate su piattaforme gratuite (Google Sites, Blogger, Telegraph). Spesso, queste destinazioni utilizzano accorciatori di URL per nascondere il target finale, che spesso rimanda a pagine aggiuntive che in ultima analisi forniscono programmi di installazione o caricamento.
Famiglie di malware e caricatori osservati
I ricercatori hanno collegato la rete a molteplici famiglie di programmi che rubano informazioni e a caricatori e scaricatori basati su Node.js, come:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, oltre a vari caricatori Node.js.
Esempi concreti di abuso
Un canale chiamato @Sound_Writer (circa 9.690 iscritti) è stato compromesso per più di un anno e utilizzato per ospitare video correlati alle criptovalute che utilizzavano Rhadamanthys.
Il canale denominato @Afonesio1 (circa 129.000 iscritti) è stato dirottato il 3 dicembre 2024 e di nuovo il 5 gennaio 2025 per pubblicare un video che offriva una versione craccata di Adobe Photoshop; l'MSI distribuito forniva Hijack Loader, che a sua volta installava Rhadamanthys.
Perché le reti fantasma funzionano così bene
Queste campagne hanno successo perché riadattano gli strumenti di coinvolgimento della piattaforma per segnalare la propria legittimità. La configurazione basata sui ruoli consente una rapida sostituzione degli account e un basso tasso di abbandono operativo, quindi anche quando i proprietari della piattaforma rimuovono i contenuti, la campagna nel suo complesso sopravvive. Le reti fantasma sono un chiaro esempio di come gli autori delle minacce si adattino, sfruttando i normali segnali social e le funzionalità della piattaforma.
Una tendenza più ampia: le piattaforme come canali di distribuzione
YouTube non è l'unico a essere vittima di abusi: gli aggressori utilizzano da tempo account dirottati o appena creati per pubblicare contenuti in stile tutorial che indirizzano le vittime verso link dannosi. Anche altri servizi legittimi e reti pubblicitarie (motori di ricerca, host di file, siti di code hosting come GitHub) sono stati oggetto di abusi nell'ambito di catene di distribuzione distribuite (ad esempio, il modello correlato Stargazers Ghost Network).
Cosa dovrebbero fare i team di sicurezza e gli utenti
Misure pratiche per ridurre il rischio:
- Considerate i software "craccati" non richiesti e i download fraudolenti come ad alto rischio; preferite i siti dei venditori e gli store ufficiali.
- Verificare i link esterni alla piattaforma prima di scaricarli; evitare di seguire URL abbreviati senza verificarne la destinazione.
- Rafforzare il rilevamento per le famiglie di stealer e i caricatori Node.js a livello di rete e di endpoint; monitorare comportamenti di download sospetti da parte di file host comuni.
- Educare gli utenti a diffidare degli indizi di prova sociale (visualizzazioni, Mi piace, commenti) quando accompagnano il download di software.
- Risolvi i problemi dei canali compromessi eseguendo la scansione per rilevare caricamenti insoliti e ruotando le credenziali, e applica l'autenticazione multifattoriale per i creatori.
Nota di chiusura
La rete fantasma di YouTube dimostra la capacità degli aggressori moderni di combinare l'ingegneria sociale con le meccaniche della piattaforma. Poiché l'operazione sfrutta segnali di fiducia e una struttura di account modulare, i difensori devono combinare formazione degli utenti, vigilanza sulla piattaforma e controlli tecnici per interrompere la catena di distribuzione e ridurre la superficie di minaccia.
