„YouTube“ vaiduoklių tinklas
Kenkėjiškų „YouTube“ paskyrų grupė išnaudoja platformos populiarumą, kad platintų kenkėjiškas programas nieko neįtariantiems vartotojams. Imituodami teisėtus mokomuosius ir programinės įrangos nulaužimo turinį bei remdamiesi įsitraukimo rodikliais, šie veikėjai paverčia tai, kas atrodo kaip naudingi vaizdo įrašai, užkrato vektoriais.
Turinys
Auganti, ilgai veikianti įmonė
Nuo 2021 m. veikianti kampanija, saugumo tyrėjų dabar praminta „YouTube Ghost Network“, jau įkėlė daugiau nei 3000 kenkėjiškų vaizdo įrašų. Šiais metais jų skaičius išaugo maždaug tris kartus, todėl „Google“ buvo priversta pašalinti didžiąją dalį kenkėjiškos medžiagos. Nepaisant pašalinimų, operacijos mastas ir modulinė konstrukcija leidžia jai greitai atsinaujinti.
Kaip veikia schema: pasitikėjimas kaip ginklas
Užpuolikai užgrobia teisėtus kanalus arba sukuria naujus ir pakeičia arba įkelia vaizdo įrašus, kuriuose reklamuojamos piratinės programos, žaidimų kodai (ypač „Roblox“ kodai) arba nulaužta programinė įranga. Šie vaizdo įrašai dažnai rodomi kaip nušlifuoti vadovėliai ir naudoja matomus pasitikėjimo signalus, didelį peržiūrų skaičių, patiktukų paspaudimus ir teigiamus komentarus, kad įtikintų žiūrovus, jog turinys yra saugus. Daugelis užkrėstų vaizdo įrašų surinko šimtus tūkstančių peržiūrų (pranešti diapazonai: ~147 tūkst.–293 tūkst.), todėl šis masalas yra ypač veiksmingas.
Vaidmenimis pagrįsta, atspari infrastruktūra
Tinklo stiprybė slypi jo vaidmenimis pagrįstoje struktūroje: pažeistoms paskyroms priskiriamos konkrečios operacinės užduotys, todėl kampanija gali tęstis net ir uždraudus atskiras paskyras. Ši architektūra padeda išlaikyti tęstinumą ir apsunkina taisomuosius veiksmus.
Stebimų sąskaitų tipai apima:
Vaizdo įrašų paskyros : įkelkite masalų vaizdo įrašus ir įdėkite atsisiuntimo nuorodas į aprašymus, prisegtus komentarus arba įterpkite jas į vaizdo įrašo demonstraciją.
Skelbimų paskyros : publikuokite bendruomenės įrašus arba žinutes, kurios nukreipia į išorinius puslapius.
„Interact-accounts“ : pridėkite teigiamus įvertinimus ir skatinančius komentarus, kad sukurtumėte socialinį įrodymą ir teisėtumą.
Pristatymo grandinė: kur veda grandys
Paspaudžiamos nuorodos vaizdo įrašų aprašymuose, komentaruose ir įrašuose nukreipia žiūrovus į failų talpinimo paslaugas („MediaFire“, „Dropbox“, „Google Drive“) arba į sukčiavimo / nukreipimo puslapius, talpinamus nemokamose platformose („Google Sites“, „Blogger“, „Telegraph“). Dažnai šiose svetainėse naudojami URL sutrumpintuvai, kad paslėptų galutinį taikinį, kuris dažnai nukreipia į papildomus puslapius, kuriuose galiausiai pateikiami diegimo arba įkėlimo failai.
Pastebėtos kenkėjiškų programų šeimos ir įkrovikliai
Tyrėjai susiejo tinklą su keliomis informaciją vagiančiomis programomis ir „Node.js“ pagrindu veikiančiomis įkrovos bei atsisiuntimo programomis, tokiomis kaip:
„Lumma Stealer“, „Rhadamanthys Stealer“ , „StealC Stealer“, „RedLine Stealer“ , „Phemedrone Stealer“ ir įvairūs „Node.js“ krautuvai.
Konkretūs prievartos pavyzdžiai
Kanalas pavadinimu „@Sound_Writer“ (apie 9 690 prenumeratorių) buvo nulaužtas daugiau nei metus ir jame buvo talpinami su kriptovaliutomis susiję vaizdo įrašai, kuriuose buvo dislokuotas „Rhadamanthys“.
Kanalas pavadinimu @Afonesio1 (apie 129 000 prenumeratorių) buvo užgrobtas 2024 m. gruodžio 3 d. ir dar kartą 2025 m. sausio 5 d., siekiant paskelbti vaizdo įrašą, kuriame siūloma nulaužta „Adobe Photoshop“ programa; platinama MSI programa pristatė „Hijack Loader“, kuris savo ruožtu įdiegė „Rhadamanthys“.
Kodėl vaiduoklių tinklai veikia taip gerai
Šios kampanijos sėkmingos, nes jos perdirba platformos įsitraukimo įrankius, kad parodytų teisėtumą. Vaidmenimis pagrįsta sąranka leidžia greitai pakeisti paskyras ir sumažinti operacijų skaičių, todėl net ir platformos savininkams pašalinus turinį, visa kampanija išlieka. Vaiduoklių tinklai yra aiškus pavyzdys, kaip grėsmių veikėjai prisitaiko paversdami įprastus socialinius signalus ir platformos funkcijas ginklu.
Didesnė tendencija: platformos kaip pristatymo kanalai
„YouTube“ nėra išskirtinė platforma, kuria piktnaudžiaujama – užpuolikai jau seniai naudoja užgrobtas ar naujai sukurtas paskyras mokomųjų turinio skelbimui, kuris nukreipia aukas į kenkėjiškas nuorodas. Kitos teisėtos paslaugos ir reklamos tinklai (paieškos sistemos, failų talpinimo paslaugos, kodo talpinimo svetainės, tokios kaip „GitHub“) taip pat buvo piktnaudžiaujamos kaip paskirstytų pristatymo grandinių dalis (pavyzdžiui, susijęs „Stargazers Ghost Network“ modelis).
Ką turėtų daryti saugumo komandos ir vartotojai
Praktiniai žingsniai rizikai sumažinti:
- Neprašytą „nulaužtą“ programinę įrangą ir sukčiavimo būdus atsisiųskite kaip didelės rizikos produktus; pirmenybę teikite tiekėjų svetainėms ir oficialioms parduotuvėms.
- Prieš atsisiųsdami patikrinkite nuorodas už platformos ribų; venkite sekti sutrumpintus URL nepatikrinę jų paskirties vietos.
Baigiamoji pastaba
„YouTube Ghost Network“ iliustruoja šiuolaikinių užpuolikų meistriškumą derinant socialinę inžineriją su platformos mechanika. Kadangi operacija išnaudoja pasitikėjimo signalus ir modulinę paskyros struktūrą, gynėjai turi derinti vartotojų švietimą, platformos budrumą ir technines kontrolės priemones, kad nutrauktų pristatymo grandinę ir sumažintų grėsmės paviršių.
