YouTube spoku tīkls
Ļaunprātīgu YouTube kontu grupa ir izmantojusi platformas popularitāti, lai izplatītu ļaunprogrammatūru neko nenojaušošiem lietotājiem. Atdarinot likumīgus pamācību un programmatūras uzlaušanas saturu un paļaujoties uz iesaistes rādītājiem, šie dalībnieki pārvērš šķietami noderīgus video par infekcijas vektoriem.
Satura rādītājs
Augoša, ilgstoša operācija
Kampaņa, kas darbojas kopš 2021. gada un ko drošības pētnieki tagad dēvē par YouTube Ghost Network, ir augšupielādējusi vairāk nekā 3000 ļaunprātīgu videoklipu. Šogad apjoms strauji pieauga, aptuveni trīskāršojot, kas piespieda Google noņemt lielāko daļu aizskarošā materiāla. Neskatoties uz noņemtajiem failiem, operācijas mērogs un modulārais dizains ļauj tai ātri atjaunoties.
Kā shēma darbojas: uzticība kā ierocis
Uzbrucēji nolaupa likumīgus kanālus vai izveido jaunus kanālus un aizvieto vai augšupielādē videoklipus, kas reklamē pirātiskas lietotnes, spēļu kodus (īpaši Roblox kodus) vai uzlauztu programmatūru. Šie videoklipi bieži tiek rādīti kā noslīpētas pamācības un izmanto redzamus uzticamības signālus, lielu skatījumu skaitu, atzīmes “Patīk” un pozitīvus komentārus, lai pārliecinātu skatītājus, ka saturs ir drošs. Daudzi inficēti videoklipi ir savākuši simtiem tūkstošu skatījumu (ziņotais diapazons: ~147 000–293 000), padarot šo ēsmu īpaši efektīvu.
Uz lomām balstīta, noturīga infrastruktūra
Tīkla spēks izriet no tā lomu vadītās struktūras: apdraudētajiem kontiem tiek piešķirti konkrēti operatīvie pienākumi, lai kampaņa varētu turpināties pat tad, ja atsevišķi konti ir aizliegti. Šī arhitektūra palīdz saglabāt nepārtrauktību un apgrūtina labošanu.
Novēroto kontu veidi ietver:
Video konti : augšupielādējiet ēsmas videoklipus un ievietojiet lejupielādes saites aprakstos, piespraustajos komentāros vai iegultos video pamācībā.
Ziņu konti : Publicējiet kopienas ziņas vai ziņojumus, kas satur saites uz ārējām lapām.
Mijiedarbības konti : pievienojiet atzīmes “Patīk” un iedrošinošus komentārus, lai radītu sociālos pierādījumus un leģitimitāti.
Piegādes ķēde: kurp ved saites
Noklikšķināmas saites video aprakstos, komentāros un ierakstos novirza skatītājus uz failu mitināšanas pakalpojumiem (MediaFire, Dropbox, Google Drive) vai uz pikšķerēšanas/mērķlapām, kas tiek mitinātas bezmaksas platformās (Google Sites, Blogger, Telegraph). Bieži vien šajos galamērķos tiek izmantoti URL saīsinātāji, lai slēptu galamērķi, kas bieži vien ir saistīts ar papildu lapām, kuras galu galā piegādā instalētājus vai ielādētājus.
Novērotās ļaunprogrammatūras saimes un ielādētāji
Pētnieki ir saistījuši tīklu ar vairākām informācijas zādzības saimēm un Node.js balstītiem iekrāvējiem un lejupielādētājiem, piemēram:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, kā arī dažādi Node.js iekrāvēji.
Konkrēti vardarbības piemēri
Kanāls ar nosaukumu @Sound_Writer (aptuveni 9690 abonentu) tika apdraudēts vairāk nekā gadu un tika izmantots, lai mitinātu ar kriptovalūtu saistītus videoklipus, kuros tika izmantota Rhadamanthys.
Kanāls ar nosaukumu @Afonesio1 (aptuveni 129 000 abonentu) tika nolaupīts 2024. gada 3. decembrī un vēlreiz 2025. gada 5. janvārī, lai ievietotu video, kurā tika piedāvāta uzlauzta Adobe Photoshop programma; izplatītais MSI piegādāja Hijack Loader, kas savukārt instalēja Rhadamanthys.
Kāpēc spoku tīkli darbojas tik labi
Šīs kampaņas ir veiksmīgas, jo tās pārveido platformas iesaisti veicinošos rīkus, lai signalizētu par leģitimitāti. Uz lomām balstītā iestatīšana nodrošina ātru kontu nomaiņu un zemu operacionālo mainību, tāpēc pat tad, ja platformas īpašnieki noņem saturu, kopējā kampaņa izdzīvo. Spoku tīkli ir skaidrs piemērs tam, kā draudu dalībnieki pielāgojas, izmantojot parastos sociālos signālus un platformas funkcijas kā ieroci.
Plašāka tendence: platformas kā piegādes kanāli
YouTube nav vienīgais ļaunprātīgas izmantošanas veids — uzbrucēji jau sen izmanto nolaupītus vai jaunizveidotus kontus, lai publicētu pamācību stila saturu, kas novirza upurus uz ļaunprātīgām saitēm. Arī citi likumīgi pakalpojumi un reklāmu tīkli (meklētājprogrammas, failu mitināšanas vietnes, piemēram, GitHub) ir tikuši ļaunprātīgi izmantoti kā daļa no izkliedētām piegādes ķēdēm (piemēram, saistītais Stargazers Ghost Network modelis).
Kas jādara drošības komandām un lietotājiem
Praktiski soļi riska mazināšanai:
- Uztveriet nevēlamu "uzlauztu" programmatūru un krāpnieciskas lejupielādes kā augsta riska programmas; dodiet priekšroku pārdevēju vietnēm un oficiālajiem veikaliem.
- Pirms lejupielādes pārbaudiet saites ārpus platformas; izvairieties sekot saīsinātiem URL, nepārbaudot to galamērķi.
- Pastiprināta zagļu saimju un Node.js ielādētāju noteikšana tīkla un galapunktu līmenī; aizdomīgu lejupielādes darbību uzraudzība no izplatītākajiem failu mitinātājiem.
- Izglītojiet lietotājus neuzticēties sociāli nostiprinošām norādēm (skatījumiem, atzīmēm “Patīk”, komentāriem), kad tās pavada programmatūras lejupielādi.
- Novērsiet apdraudētu kanālu problēmas, skenējot neparastas augšupielādes un mainot akreditācijas datus, kā arī ieviesiet daudzfaktoru autentifikāciju veidotājiem.
Noslēguma piezīme
YouTube Ghost Network ilustrē mūsdienu uzbrucēju prasmi apvienot sociālo inženieriju ar platformas mehāniku. Tā kā operācija izmanto uzticības signālus un modulāru konta struktūru, aizstāvjiem ir jāapvieno lietotāju izglītošana, platformas modrība un tehniskā kontrole, lai pārtrauktu piegādes ķēdi un samazinātu apdraudējuma virsmu.
