Sieć YouTube Ghost
Grupa złośliwych kont YouTube wykorzystuje popularność platformy, aby rozpowszechniać złośliwe oprogramowanie wśród niczego niepodejrzewających użytkowników. Naśladując legalne samouczki i treści związane z crackiem oprogramowania oraz opierając się na wskaźnikach zaangażowania, cyberprzestępcy zamieniają pozornie pomocne filmy w wektory infekcji.
Spis treści
Rozwijająca się, długotrwała operacja
Aktywna od 2021 roku kampania – obecnie nazywana przez analityków bezpieczeństwa YouTube Ghost Network – przesłała ponad 3000 złośliwych filmów. W tym roku liczba ta gwałtownie wzrosła, niemal trzykrotnie, co zmusiło Google do usunięcia większości szkodliwych materiałów. Pomimo działań naprawczych, skala operacji i jej modułowa konstrukcja pozwalają na jej szybką regenerację.
Jak działa program: Zaufanie jako broń
Atakujący przejmują legalne kanały lub tworzą nowe i podmieniają lub publikują filmy reklamujące pirackie aplikacje, cheaty do gier (zwłaszcza cheaty do Robloxa) lub złamane oprogramowanie. Filmy te często wyglądają jak dopracowane samouczki i wykorzystują widoczne sygnały zaufania, wysoką liczbę wyświetleń, polubienia i pozytywne komentarze, aby przekonać widzów, że treści są bezpieczne. Wiele zainfekowanych filmów zgromadziło setki tysięcy wyświetleń (według raportów: ~147 tys.–293 tys.), co czyni tę przynętę szczególnie skuteczną.
Infrastruktura oparta na rolach i odporna
Siła sieci tkwi w jej strukturze opartej na rolach: naruszone konta otrzymują określone zadania operacyjne, dzięki czemu kampania może być kontynuowana nawet po zablokowaniu poszczególnych kont. Taka architektura pomaga zachować ciągłość i utrudnia naprawę.
Obserwowane rodzaje kont obejmują:
Konta wideo : Prześlij filmiki-wabiki i umieść linki do pobrania w opisach, przypiętych komentarzach lub osadzonych w filmie instruktażowym.
Konta postowe : publikuj posty społecznościowe lub wiadomości zawierające linki do stron zewnętrznych.
Konta interaktywne : dodawaj polubienia i zachęcające komentarze, aby tworzyć dowód społeczny i wiarygodność.
Łańcuch dostaw: dokąd prowadzą łącza
Klikalne linki w opisach filmów, komentarzach i postach kierują widzów do serwisów hostingowych (MediaFire, Dropbox, Google Drive) lub na strony phishingowe/landingowe hostowane na darmowych platformach (Google Sites, Blogger, Telegraph). Często te strony internetowe używają skracaczy adresów URL, aby ukryć adres docelowy, który często prowadzi do dodatkowych stron, które ostatecznie dostarczają instalatory lub programy ładujące.
Obserwowane rodziny złośliwego oprogramowania i programy ładujące
Naukowcy powiązali sieć z wieloma rodzinami programów wykradających informacje oraz programami ładującymi i pobierającymi informacje opartymi na Node.js, takimi jak:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer i różne ładowarki Node.js.
Konkretne przykłady nadużyć
Kanał o nazwie @Sound_Writer (około 9690 subskrybentów) był przez ponad rok narażony na ataki hakerów i wykorzystywany do udostępniania filmów związanych z kryptowalutami, w których wykorzystano Rhadamanthysa.
Kanał o nazwie @Afonesio1 (około 129 000 subskrybentów) został przejęty 3 grudnia 2024 r., a następnie 5 stycznia 2025 r. w celu opublikowania filmu oferującego złamaną wersję programu Adobe Photoshop. Rozpowszechniony plik MSI dostarczył Hijack Loader, który z kolei zainstalował Rhadamanthysa.
Dlaczego sieci widmo działają tak dobrze
Te kampanie odnoszą sukces, ponieważ wykorzystują narzędzia platformy do angażowania użytkowników, aby zasygnalizować swoją wiarygodność. Konfiguracja oparta na rolach pozwala na szybką wymianę kont i niski wskaźnik rotacji użytkowników, więc nawet gdy właściciele platform usuwają treści, kampania przetrwa. Sieci widmo są wyraźnym przykładem tego, jak atakujący adaptują się, wykorzystując normalne sygnały społecznościowe i funkcje platformy jako broń.
Szerszy trend: platformy jako kanały dostaw
YouTube nie jest jedynym miejscem, w którym padło ofiarą nadużyć – atakujący od dawna wykorzystują przejęte lub nowo utworzone konta do publikowania treści w stylu poradników, które kierują ofiary do złośliwych linków. Inne legalne usługi i sieci reklamowe (wyszukiwarki, hosty plików, witryny hostujące kod, takie jak GitHub) również padły ofiarą nadużyć w ramach rozproszonych łańcuchów dostaw (na przykład powiązany model Stargazers Ghost Network).
Co powinni zrobić zespoły ds. bezpieczeństwa i użytkownicy
Praktyczne kroki mające na celu ograniczenie ryzyka:
- Niechciane, „złamane” oprogramowanie i pobieranie cheatów traktuj jako wysokiego ryzyka; wybieraj strony sprzedawców i oficjalne sklepy.
- Przed pobraniem sprawdź linki spoza platformy; unikaj korzystania ze skróconych adresów URL bez sprawdzenia ich miejsca docelowego.
- Wzmocnij wykrywanie rodzin programów stealer i ładowarek Node.js na poziomie sieci i punktów końcowych; monitoruj pod kątem podejrzanego zachowania podczas pobierania plików od popularnych dostawców hostingu.
- Uświadom użytkownikom, aby nie ufali wskazówkom społecznym (wyświetleniom, polubieniom, komentarzom) towarzyszącym pobieraniu oprogramowania.
- Napraw zagrożenia na kanałach, skanując je pod kątem nietypowych przesyłanych treści i zmieniając dane uwierzytelniające, a także wymuszając uwierzytelnianie wieloskładnikowe dla twórców.
Uwaga końcowa
Sieć YouTube Ghost Network ilustruje biegłość współczesnych atakujących w łączeniu socjotechniki z mechanizmami platformy. Ponieważ operacja wykorzystuje sygnały zaufania i modułową strukturę kont, obrońcy muszą łączyć edukację użytkowników, czujność platformy i kontrole techniczne, aby przerwać łańcuch dostaw i zmniejszyć powierzchnię zagrożenia.
