Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare YouTube Ghost Network

YouTube Ghost Network

Med Mezo i Skadelig programvare
Oversett til:

En klynge av ondsinnede YouTube-kontoer har utnyttet plattformens popularitet til å sende skadelig programvare til intetanende brukere. Ved å etterligne legitimt innhold fra veiledninger og programvarehakk, og ved å støtte seg på engasjementsmålinger, gjør disse aktørene det som ser ut som nyttige videoer til infeksjonsvektorer.

En voksende, langvarig virksomhet

Kampanjen – som sikkerhetsforskere nå kaller YouTube Ghost Network – har vært aktiv siden 2021 og har lastet opp over 3000 ondsinnede videoer. Volumet økte kraftig i år, omtrent tredoblet seg, noe som tvang Google til å fjerne mesteparten av det støtende materialet. Til tross for fjerningene, tillater operasjonens skala og modulære design at den raskt regenereres.

Hvordan ordningen fungerer: Tillit som et våpen

Angripere kaprer legitime kanaler eller oppretter nye og erstatter eller laster opp videoer som reklamerer for piratkopierte apper, spilljuksekoder (spesielt Roblox-juksekoder) eller sprukket programvare. Disse videoene fremstår ofte som polerte veiledninger og bruker synlige tillitssignaler, høye visningstall, likerklikk og positive kommentarer for å overbevise seerne om at innholdet er trygt. Mange infiserte videoer har samlet hundretusenvis av visninger (rapporterte områder: ~147 000–293 000), noe som gjør lokkemiddelet spesielt effektivt.

En rollebasert, robust infrastruktur

Nettverkets styrke kommer fra dets rolledrevne struktur: kompromitterte kontoer tildeles spesifikke driftsoppgaver, slik at kampanjen kan fortsette selv når individuelle kontoer er utestengt. Denne arkitekturen bidrar til å opprettholde kontinuitet og gjør utbedring vanskeligere.

Typer av observerte kontoer inkluderer:

Videokontoer : Last opp lokkevideoer og plasser nedlastingslenker i beskrivelser, festede kommentarer eller legg dem inne i videogjennomgangen.

Innleggskontoer : Publiser innlegg eller meldinger fra fellesskapet som lenker til eksterne sider.

Interager med kontoer : Legg til likerklikk og oppmuntrende kommentarer for å skape sosiale bevis og legitimitet.

Leveringskjede: Dit leddene fører

Klikkbare lenker i videobeskrivelser, kommentarer og innlegg omdirigerer seere til filtjenester (MediaFire, Dropbox, Google Drive) eller til phishing-/landingssider som ligger på gratis plattformer (Google Sites, Blogger, Telegraph). Ofte bruker disse destinasjonene URL-forkortere for å skjule det endelige målet, som ofte lenker til flere sider som til slutt leverer installasjons- eller lasteprogrammer.

Observerte familier av skadelig programvare og lasteprogrammer

Forskere har knyttet nettverket til flere informasjonsstjelende familier og Node.js-baserte lastere og nedlastere, for eksempel:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, pluss diverse Node.js-lastere.

Konkrete eksempler på overgrep

En kanal kalt @Sound_Writer (ca. 9690 abonnenter) var kompromittert i over et år og ble brukt til å være vert for kryptovalutarelaterte videoer som distribuerte Rhadamanthys.

Kanalen @Afonesio1 (omtrent 129 000 abonnenter) ble kapret 3. desember 2024 og igjen 5. januar 2025 for å legge ut en video som tilbød en knekt Adobe Photoshop; den distribuerte MSI leverte Hijack Loader, som igjen installerte Rhadamanthys.

Hvorfor spøkelsesnettverk fungerer så bra

Disse kampanjene lykkes fordi de ombruker plattformens egne engasjementsverktøy for å signalisere legitimitet. Det rollebaserte oppsettet muliggjør rask kontoutskifting og lav driftsavgang, så selv når plattformeiere fjerner innhold, overlever den samlede kampanjen. Spøkelsesnettverk er et tydelig eksempel på hvordan trusselaktører tilpasser seg ved å gjøre normale sosiale signaler og plattformfunksjoner til et våpen.

En større trend: Plattformer som leveringskanaler

YouTube er ikke unikt når det gjelder misbruk – angripere har lenge brukt kaprede eller nyopprettede kontoer til å legge ut innhold i veiledningsstil som leder ofre til ondsinnede lenker. Andre legitime tjenester og annonsenettverk (søkemotorer, filverter, kodevertsider som GitHub) har også blitt misbrukt som en del av distribuerte leveringskjeder (for eksempel den relaterte Stargazers Ghost Network-modellen).

Hva sikkerhetsteam og brukere bør gjøre

Praktiske tiltak for å redusere risiko:

  • Behandle uoppfordret «kracket» programvare og juksekodenedlastinger som høyrisiko; foretrekk leverandørnettsteder og offisielle butikker.
  • Bekreft lenker utenfor plattformen før nedlasting; unngå å følge forkortede URL-er uten å sjekke destinasjonen.
  • Forsterk deteksjon for tyverfamilier og Node.js-lastere på nettverks- og endepunktnivå; overvåk mistenkelig nedlastingsatferd fra vanlige filvertere.
  • Lær brukere å mistro sosiale bevis (visninger, likerklikk, kommentarer) når de følger med programvarenedlastinger.
  • Utbedre kompromitterte kanaler ved å skanne etter uvanlige opplastinger og roterende legitimasjon, og håndhev flerfaktorautentisering for skapere.

    • Avsluttende merknad

    YouTube Ghost Network illustrerer moderne angriperes dyktighet i å blande sosial manipulering med plattformmekanikk. Fordi operasjonen utnytter tillitssignaler og en modulær kontostruktur, må forsvarere kombinere brukeropplæring, plattformovervåkning og tekniske kontroller for å avbryte leveringskjeden og redusere trusseloverflaten.

    Trender

    Mest sett

    Laster inn...