YouTube Ghost Network
Группа вредоносных аккаунтов YouTube использует популярность платформы, чтобы распространять вредоносное ПО среди ничего не подозревающих пользователей. Подражая легитимным обучающим материалам и материалам для взлома ПО, а также используя показатели вовлеченности, эти мошенники превращают то, что выглядит как полезные видео, в векторы заражения.
Оглавление
Растущая, долгосрочная деятельность
Активная с 2021 года, эта кампания, которую специалисты по безопасности теперь называют «сетью-призраком YouTube», загрузила более 3000 вредоносных видеороликов. В этом году объёмы распространения резко возросли, почти утроившись, что вынудило Google удалить большую часть вредоносных материалов. Несмотря на удаления, масштаб и модульная структура кампании позволяют ей быстро восстанавливаться.
Как работает схема: доверие как оружие
Злоумышленники захватывают легитимные каналы или создают новые, заменяя или загружая видео, рекламирующие пиратские приложения, игровые читы (в частности, читы для Roblox) или взломанное ПО. Эти видео часто выглядят как отшлифованные обучающие материалы и используют видимые сигналы доверия, большое количество просмотров, лайков и положительных комментариев, чтобы убедить зрителей в безопасности контента. Многие зараженные видео набрали сотни тысяч просмотров (зарегистрированный диапазон: ~147–293 тыс.), что делает эту приманку особенно эффективной.
Устойчивая инфраструктура на основе ролей
Сила сети заключается в её ролевой структуре: скомпрометированным учётным записям назначаются определённые операционные задачи, что позволяет продолжать кампанию даже после блокировки отдельных учётных записей. Такая архитектура способствует поддержанию непрерывности и затрудняет устранение последствий.
Типы наблюдаемых счетов включают:
Видеоаккаунты : загружайте видеоролики-приманки и размещайте ссылки для скачивания в описаниях, закрепленных комментариях или встраивайте в видеообзоры.
Аккаунты публикаций : публикуйте сообщения или сообщения сообщества, ссылающиеся на внешние страницы.
Взаимодействие с аккаунтами : добавляйте лайки и поощряйте комментарии для создания социального доказательства и легитимности.
Цепочка поставок: куда ведут звенья
Кликабельные ссылки в описаниях видео, комментариях и публикациях перенаправляют зрителей на файлообменники (MediaFire, Dropbox, Google Drive) или на фишинговые/целевые страницы, размещённые на бесплатных платформах (Google Sites, Blogger, Telegraph). Зачастую эти ссылки используют сервисы сокращения URL, чтобы скрыть конечную цель, которая часто ведёт на дополнительные страницы, которые в конечном итоге предоставляют установщики или загрузчики.
Наблюдаемые семейства вредоносных программ и загрузчики
Исследователи связали сеть с несколькими семействами вредоносных программ, ворующих информацию, а также загрузчиками и загрузчиками на базе Node.js, такими как:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, а также различные загрузчики Node.js.
Конкретные примеры злоупотреблений
Канал под названием @Sound_Writer (около 9690 подписчиков) был взломан более года назад и использовался для размещения видеороликов, связанных с криптовалютой, в которых использовался Rhadamanthys.
Канал под названием @Afonesio1 (около 129 000 подписчиков) был взломан 3 декабря 2024 года и еще раз 5 января 2025 года, чтобы опубликовать видео, предлагающее взломанный Adobe Photoshop; распространяемый MSI-файл поставлял Hijack Loader, который, в свою очередь, устанавливал Rhadamanthys.
Почему сети-призраки работают так хорошо
Эти кампании успешны, потому что они переосмысливают собственные инструменты взаимодействия платформы для демонстрации легитимности. Ролевая структура обеспечивает быструю замену аккаунтов и низкий отток пользователей, поэтому даже если владельцы платформы удаляют контент, кампания в целом продолжается. «Сети-призраки» — яркий пример того, как злоумышленники адаптируются, используя обычные социальные сигналы и функции платформы в качестве оружия.
Более масштабная тенденция: платформы как каналы доставки
YouTube не единственный объект злоупотреблений — злоумышленники уже давно используют взломанные или недавно созданные аккаунты для публикации обучающего контента, перенаправляющего жертв на вредоносные ссылки. Другие легитимные сервисы и рекламные сети (поисковые системы, файлообменники, сайты размещения кода, такие как GitHub) также подвергались злоупотреблениям в рамках распределённых цепочек доставки (например, связанная модель Stargazers Ghost Network).
Что должны делать команды безопасности и пользователи
Практические шаги по снижению риска:
- Относитесь к несанкционированным «взломанным» программам и читерским загрузкам как к высокорискованным; отдавайте предпочтение сайтам поставщиков и официальным магазинам.
- Перед загрузкой проверяйте ссылки за пределами платформы; избегайте перехода по сокращенным URL-адресам без проверки места назначения.
Заключительное замечание
YouTube Ghost Network демонстрирует, как современные злоумышленники умело сочетают социальную инженерию с механикой платформы. Поскольку эта операция использует сигналы доверия и модульную структуру аккаунтов, защитникам необходимо сочетать обучение пользователей, контроль над платформой и технические средства контроля, чтобы прервать цепочку доставки и сократить поверхность угрозы.
