Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware YouTube Ghost Network

YouTube Ghost Network

Tegen Mezo in Malware
Vertalen naar:

Een cluster van kwaadaardige YouTube-accounts misbruikt de populariteit van het platform om malware naar nietsvermoedende gebruikers te verspreiden. Door legitieme tutorials en softwarecracks na te bootsen en te vertrouwen op interactiestatistieken, veranderen deze actoren wat op het eerste gezicht nuttige video's lijken in infectievectoren.

Een groeiende, langlopende operatie

De campagne, die sinds 2021 actief is en door beveiligingsonderzoekers nu het YouTube Ghost Network wordt genoemd, heeft meer dan 3000 kwaadaardige video's geüpload. Het aantal video's is dit jaar sterk gestegen, met een verdrievoudiging van ongeveer 3000, waardoor Google gedwongen werd het grootste deel van het aanstootgevende materiaal te verwijderen. Ondanks verwijderingen maken de omvang en het modulaire ontwerp van de operatie het mogelijk om deze snel te herstellen.

Hoe het plan werkt: vertrouwen als wapen

Aanvallers kapen legitieme kanalen of creëren nieuwe kanalen en vervangen of uploaden video's die reclame maken voor illegale apps, gamecheats (met name Roblox-cheats) of gekraakte software. Deze video's zien er vaak uit als gepolijste tutorials en gebruiken zichtbare vertrouwenssignalen, hoge weergaveaantallen, likes en positieve reacties om kijkers ervan te overtuigen dat de content veilig is. Veel geïnfecteerde video's hebben honderdduizenden weergaven verzameld (gerapporteerde waarden: ~147.000–293.000), wat de lokkertjes bijzonder effectief maakt.

Een rolgebaseerde, veerkrachtige infrastructuur

De kracht van het netwerk schuilt in de rolgestuurde structuur: gecompromitteerde accounts krijgen specifieke operationele taken toegewezen, zodat de campagne kan worden voortgezet, zelfs wanneer individuele accounts worden geblokkeerd. Deze architectuur helpt de continuïteit te behouden en maakt herstel moeilijker.

De volgende soorten rekeningen zijn waargenomen:

Video-accounts : upload lokvideo's en plaats downloadlinks in beschrijvingen, vastgezette opmerkingen of ingebed in de video-walkthrough.

Post‑accounts : publiceer communityberichten of berichten die linken naar externe pagina's.

Interactie-accounts : voeg likes en bemoedigende opmerkingen toe om sociaal bewijs en legitimiteit te creëren.

Leveringsketen: waar de schakels naartoe leiden

Klikbare links in videobeschrijvingen, reacties en berichten verwijzen kijkers door naar bestandshostingservices (MediaFire, Dropbox, Google Drive) of naar phishing-/landingspagina's die worden gehost op gratis platforms (Google Sites, Blogger, Telegraph). Vaak gebruiken deze bestemmingen URL-verkorters om het uiteindelijke doel te verbergen, dat vaak linkt naar aanvullende pagina's die uiteindelijk installers of loaders leveren.

Waargenomen malwarefamilies en loaders

Onderzoekers hebben het netwerk gekoppeld aan meerdere informatie-stelende families en Node.js-gebaseerde loaders en downloaders, zoals:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, plus verschillende Node.js-loaders.

Concrete voorbeelden van misbruik

Een kanaal met de naam @Sound_Writer (ongeveer 9.690 abonnees) was meer dan een jaar lang gehackt en werd gebruikt om video's over cryptovaluta te hosten waarin Rhadamanthys werd gebruikt.

Het kanaal @Afonesio1 (ongeveer 129.000 abonnees) werd op 3 december 2024 en opnieuw op 5 januari 2025 gekaapt om een video te posten waarin een gekraakte versie van Adobe Photoshop werd aangeboden. De gedistribueerde MSI-versie van Hijack Loader installeerde Rhadamanthys.

Waarom spooknetwerken zo goed werken

Deze campagnes zijn succesvol omdat ze de engagementtools van het platform hergebruiken om legitimiteit te signaleren. De rolgebaseerde opzet maakt snelle accountvervanging en een laag operationeel verloop mogelijk, dus zelfs wanneer platformeigenaren content verwijderen, blijft de campagne overeind. Ghost Networks zijn een duidelijk voorbeeld van hoe kwaadwillenden zich aanpassen door normale sociale signalen en platformfuncties als wapen te gebruiken.

Een grotere trend: platforms als distributiekanalen

YouTube is niet het enige land dat misbruikt wordt: aanvallers gebruiken al lang gekaapte of nieuw aangemaakte accounts om tutorial-achtige content te plaatsen die slachtoffers naar kwaadaardige links leidt. Ook andere legitieme diensten en advertentienetwerken (zoekmachines, file hosts, codehostingsites zoals GitHub) zijn misbruikt als onderdeel van gedistribueerde distributieketens (bijvoorbeeld het verwante Stargazers Ghost Network-model).

Wat beveiligingsteams en gebruikers moeten doen

Praktische stappen om risico's te verminderen:

  • Beschouw ongevraagde 'gekraakte' software en cheat-downloads als een groot risico; geef de voorkeur aan leveranciersites en officiële winkels.
  • Controleer links buiten het platform voordat u iets downloadt. Vermijd het volgen van verkorte URL's zonder eerst de bestemming ervan te controleren.
  • Verbeter de detectie van stealer-families en Node.js-loaders op netwerk- en eindpuntniveau; controleer op verdacht downloadgedrag van gangbare bestandshosters.
  • Leer gebruikers om sociale bewijssignalen (weergaven, vind-ik-leuks, reacties) niet te vertrouwen wanneer ze software downloaden.
  • Herstel gecompromitteerde kanalen door te scannen op ongebruikelijke uploads en door inloggegevens te wisselen. Ook kunt u multifactorauthenticatie afdwingen voor makers.

    • Slotnoot

    Het YouTube Ghost Network illustreert hoe goed moderne aanvallers social engineering kunnen combineren met platformmechanismen. Omdat de operatie gebruikmaakt van vertrouwenssignalen en een modulaire accountstructuur, moeten verdedigers gebruikersvoorlichting, platformwaakzaamheid en technische controles combineren om de distributieketen te onderbreken en het dreigingsoppervlak te verkleinen.

    Trending

    Meest bekeken

    Bezig met laden...