Omrežje duhov YouTube
Skupina zlonamernih računov YouTube izkorišča priljubljenost platforme za širjenje zlonamerne programske opreme nič hudega slutečim uporabnikom. Z oponašanjem legitimnih vadnic in vsebin z razbitinami programske opreme ter zanašanjem na meritve angažiranosti ti akterji videoposnetke, ki so videti kot koristni, spreminjajo v vektorje okužbe.
Kazalo
Rastoča, dolgotrajna operacija
Kampanja, ki deluje od leta 2021 in jo varnostni raziskovalci zdaj imenujejo YouTube Ghost Network (Mreža duhov YouTube), je naložila več kot 3000 zlonamernih videoposnetkov. Število zlonamernih videoposnetkov se je letos povečalo, približno potrojilo, zaradi česar je Google moral odstraniti večino spornega gradiva. Kljub odstranitvam obseg in modularna zasnova operacije omogočata hitro regeneracijo.
Kako shema deluje: Zaupanje kot orožje
Napadalci ugrabijo legitimne kanale ali ustvarijo nove ter nadomestijo ali naložijo videoposnetke, ki oglašujejo piratske aplikacije, goljufije v igrah (zlasti goljufije za Roblox) ali razpokano programsko opremo. Ti videoposnetki so pogosto videti kot dodelani vodiči in uporabljajo vidne signale zaupanja, veliko število ogledov, všečkov in pozitivnih komentarjev, da bi gledalce prepričali, da je vsebina varna. Številni okuženi videoposnetki so zbrali več sto tisoč ogledov (poročani razponi: ~147.000–293.000), zaradi česar je vaba še posebej učinkovita.
Odporna infrastruktura, ki temelji na vlogah
Moč omrežja izhaja iz njegove strukture, ki jo vodijo vloge: ogroženi računi imajo dodeljene specifične operativne naloge, tako da se kampanja lahko nadaljuje tudi, ko so posamezni računi blokirani. Ta arhitektura pomaga ohranjati kontinuiteto in otežuje sanacijo.
Med opazovanimi vrstami računov so:
Video računi : Naložite videoposnetke z vabami in povezave za prenos postavite v opise, pripete komentarje ali vdelajte v video vodnik.
Objavni računi : Objavite objave ali sporočila skupnosti, ki se povezujejo na zunanje strani.
Interakcijski računi : Dodajte všečke in spodbudne komentarje za ustvarjanje družbenega dokaza in legitimnosti.
Dostavna veriga: Kam vodijo členi
Klikajoče povezave v opisih videoposnetkov, komentarjih in objavah preusmerjajo gledalce na storitve gostovanja datotek (MediaFire, Dropbox, Google Drive) ali na strani za lažno predstavljanje/ciljne strani, ki gostujejo na brezplačnih platformah (Google Sites, Blogger, Telegraph). Te strani pogosto uporabljajo krajše URL-je, da prikrijejo končno tarčo, ki pogosto povezuje na dodatne strani, ki na koncu dostavijo namestitvene ali nalagalne programe.
Opažene družine in nalagalniki zlonamerne programske opreme
Raziskovalci so omrežje povezali z več družinami programske opreme za krajo informacij in nalagalniki ter prenosniki, ki temeljijo na Node.js, kot so:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer in različni nalagalniki Node.js.
Konkretni primeri zlorabe
Kanal z imenom @Sound_Writer (približno 9.690 naročnikov) je bil več kot eno leto ogrožen in se je uporabljal za gostovanje videoposnetkov, povezanih s kriptovalutami, ki so uporabljali Rhadamanthys.
Kanal z imenom @Afonesio1 (približno 129.000 naročnikov) je bil ugrabljen 3. decembra 2024 in ponovno 5. januarja 2025, da bi objavili videoposnetek, ki je ponujal razpokano različico programa Adobe Photoshop; distribuirani MSI je dostavil Hijack Loader, ki je nato namestil Rhadamanthys.
Zakaj omrežja duhov delujejo tako dobro
Te kampanje so uspešne, ker orodja za angažiranje, ki so na voljo na platformi, prenameščajo v signal legitimnosti. Nastavitev, ki temelji na vlogah, omogoča hitro zamenjavo računov in nizko operativno odtekanje, zato celotna kampanja preživi tudi, ko lastniki platforme odstranijo vsebino. Ghost Networks so jasen primer, kako se akterji groženj prilagajajo tako, da običajne družbene signale in funkcije platforme izkoriščajo kot orožje.
Širši trend: Platforme kot distribucijski kanali
YouTube ni edini, ki je bil deležen zlorab – napadalci že dolgo uporabljajo ugrabljene ali na novo ustvarjene račune za objavljanje vsebin v slogu vadnic, ki žrtve usmerjajo do zlonamernih povezav. Tudi druge legitimne storitve in oglaševalska omrežja (iskalniki, spletna mesta za gostovanje datotek, spletna mesta za gostovanje kode, kot je GitHub) so bila zlorabljena kot del distribuiranih dobavnih verig (na primer sorodni model Stargazers Ghost Network).
Kaj naj storijo varnostne ekipe in uporabniki
Praktični koraki za zmanjšanje tveganja:
- Neželene prenose »kreknjene« programske opreme in goljufij obravnavajte kot visoko tvegane; raje izberite spletna mesta prodajalcev in uradne trgovine.
- Pred prenosom preverite povezave zunaj platforme; izogibajte se sledenju skrajšanim URL-jem, ne da bi preverili njihov cilj.
- Izboljšajte zaznavanje družin kradljivcev in nalagalnikov Node.js na ravni omrežja in končnih točk; spremljajte sumljivo prenašanje s strani običajnih ponudnikov gostovanja datotek.
- Uporabnike poučite, naj ne zaupajo družbenim dokazom (ogledom, všečkom, komentarjem), ko ti spremljajo prenos programske opreme.
- Odpravite ogrožene kanale s skeniranjem nenavadnih nalaganj in menjavanjem poverilnic ter uveljavite večfaktorsko avtorizacijo za ustvarjalce.
Zaključna opomba
Omrežje YouTube Ghost Network ponazarja spretnost sodobnih napadalcev pri kombiniranju socialnega inženiringa z mehaniko platforme. Ker operacija izkorišča signale zaupanja in modularno strukturo računov, morajo branilci združiti izobraževanje uporabnikov, budnost platforme in tehnične kontrole, da bi prekinili dobavno verigo in zmanjšali površino grožnje.
