YouTube Ghost Network
Një grup llogarish keqdashëse në YouTube ka shfrytëzuar popullaritetin e platformës për të përhapur programe keqdashëse te përdoruesit e pavetëdijshëm. Duke imituar përmbajtje legjitime mësimore dhe programe të thyera dhe duke u mbështetur në metrika të angazhimit, këta aktorë i shndërrojnë ato që duken si video të dobishme në vektorë infeksioni.
Tabela e Përmbajtjes
Një Operacion në Rritje dhe Afatgjatë
Aktive që nga viti 2021, fushata — e quajtur tani Rrjeti Ghost i YouTube nga studiuesit e sigurisë — ka ngarkuar mbi 3,000 video keqdashëse. Vëllimi u rrit këtë vit, pothuajse u trefishua, gjë që e detyroi Google të hiqte pjesën më të madhe të materialit ofendues. Pavarësisht heqjeve, shkalla dhe dizajni modular i operacionit e lejojnë atë të rigjenerohet shpejt.
Si funksionon skema: Besimi si armë
Sulmuesit rrëmbejnë kanale legjitime ose krijojnë kanale të reja dhe zëvendësojnë ose ngarkojnë video që reklamojnë aplikacione pirate, mashtrime lojërash (veçanërisht mashtrime Roblox) ose softuer të hakuar. Këto video shpesh shfaqen si tutoriale të rafinuara dhe përdorin sinjale të dukshme besimi, numër të lartë shikimesh, pëlqimesh dhe komente pozitive, për të bindur shikuesit se përmbajtja është e sigurt. Shumë video të infektuara kanë grumbulluar qindra mijëra shikime (diapazoni i raportuar: ~147k–293k), duke e bërë karremin veçanërisht efektiv.
Një Infrastrukturë e Bazuar në Role dhe Rezistente
Forca e rrjetit vjen nga struktura e tij e bazuar në role: llogarive të kompromentuara u caktohen detyra specifike operative në mënyrë që fushata të mund të vazhdojë edhe kur llogaritë individuale janë të ndaluara. Kjo arkitekturë ndihmon në ruajtjen e vazhdimësisë dhe e bën më të vështirë korrigjimin.
Llojet e llogarive të vëzhguara përfshijnë:
Llogaritë e videove : Ngarkoni video joshëse dhe vendosni lidhje shkarkimi në përshkrime, komente të fiksuara ose të integruara në udhëzuesin e videos.
Llogaritë e postimeve : Publikoni postime ose mesazhe të komunitetit që lidhen me faqe të jashtme.
Llogaritë ndërvepruese : Shtoni pëlqime dhe komente inkurajuese për të krijuar prova sociale dhe legjitimitet.
Zinxhiri i Dorëzimit: Ku Çojnë Lidhjet
Lidhjet e klikueshme në përshkrimet e videove, komentet dhe postimet i ridrejtojnë shikuesit te shërbimet e strehimit të skedarëve (MediaFire, Dropbox, Google Drive) ose te faqet e phishing-ut/landing të vendosura në platforma falas (Google Sites, Blogger, Telegraph). Shpesh, këto destinacione përdorin shkurtues URL-sh për të fshehur objektivin përfundimtar, i cili shpesh lidhet me faqe shtesë që në fund të fundit ofrojnë instalues ose ngarkues.
Familjet e programeve keqdashëse dhe ngarkuesit e vëzhguar
Studiuesit e kanë lidhur rrjetin me familje të shumta që vjedhin informacion dhe ngarkues e shkarkues të bazuar në Node.js, të tilla si:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, plus ngarkues të ndryshëm Node.js.
Shembuj konkretë të abuzimit
Një kanal i quajtur @Sound_Writer (rreth 9,690 abonentë) u kompromentua për më shumë se një vit dhe u përdor për të transmetuar video në lidhje me kriptovalutat që përdornin Rhadamanthys.
Kanali me emrin @Afonesio1 (rreth 129,000 abonentë) u hakua më 3 dhjetor 2024 dhe përsëri më 5 janar 2025 për të postuar një video që ofronte një Adobe Photoshop të thyer; MSI i shpërndarë dorëzoi Hijack Loader, i cili nga ana tjetër instaloi Rhadamanthys.
Pse Rrjetet Fantazmë Funksionojnë Kaq Mirë
Këto fushata kanë sukses sepse ato i ripërdorin mjetet e angazhimit të platformës për të sinjalizuar legjitimitet. Konfigurimi i bazuar në role lejon zëvendësim të shpejtë të llogarisë dhe largim të ulët të përdoruesve, kështu që edhe kur pronarët e platformës heqin përmbajtjen, fushata në tërësi mbijeton. Rrjetet Fantazmë janë një shembull i qartë se si aktorët kërcënues përshtaten duke i shndërruar në armë sinjalet normale sociale dhe veçoritë e platformës.
Një trend më i gjerë: Platformat si kanale shpërndarjeje
YouTube nuk është unik në abuzimin me të — sulmuesit kanë përdorur prej kohësh llogari të vjedhura ose të krijuara rishtazi për të postuar përmbajtje në stilin e tutorialeve që i drejton viktimat në lidhje dashakeqe. Shërbime dhe rrjete të tjera legjitime reklamash (motorët e kërkimit, strehuesit e skedarëve, faqet e strehimit të kodit si GitHub) janë abuzuar gjithashtu si pjesë e zinxhirëve të shpërndarjes së shpërndarë (për shembull, modeli i lidhur me Stargazers Ghost Network).
Çfarë duhet të bëjnë ekipet e sigurisë dhe përdoruesit
Hapat praktikë për të zvogëluar rrezikun:
- Trajtojini softuerët e pakërkuar të "krisur" dhe shkarkimet mashtruese si me rrezik të lartë; preferoni faqet e shitësve dhe dyqanet zyrtare.
- Verifikoni lidhjet jashtë platformës përpara shkarkimit; shmangni ndjekjen e URL-ve të shkurtuara pa kontrolluar destinacionin e tyre.
- Zbulimi i fortë për familjet e vjedhësve dhe ngarkuesit Node.js në nivelet e rrjetit dhe të pikës fundore; monitorimi i sjelljes së dyshimtë të shkarkimit nga strehuesit e zakonshëm të skedarëve.
- Edukojini përdoruesit që të mos u besojnë sinjaleve të sigurisë sociale (shikime, pëlqime, komente) kur ato shoqërojnë shkarkimet e softuerëve.
- Riparoni kanalet e kompromentuara duke skanuar për ngarkime të pazakonta dhe duke rrotulluar kredencialet, dhe zbatoni autorizimin shumëfaktorësh për krijuesit.
Shënim Përfundimtar
Rrjeti Ghost i YouTube ilustron rrjedhshmërinë e sulmuesve modernë në përzierjen e inxhinierisë sociale me mekanikën e platformës. Meqenëse operacioni shfrytëzon sinjalet e besimit dhe një strukturë modulare të llogarisë, mbrojtësit duhet të kombinojnë edukimin e përdoruesit, vigjilencën e platformës dhe kontrollet teknike për të ndërprerë zinxhirin e shpërndarjes dhe për të zvogëluar sipërfaqen e kërcënimit.
