Јутјуб мрежа духова
Група злонамерних YouTube налога искоришћава популарност платформе како би ширила малвер неслутећим корисницима. Опонашајући легитимне туторијале и крековане софтверске верзије и ослањајући се на метрике ангажовања, ови актери оно што изгледа као корисни видео снимци претварају у векторе инфекције.
Преглед садржаја
Растућа, дуготрајна операција
Активна од 2021. године, кампања — коју стручњаци за безбедност сада називају YouTube Ghost Network — отпремила је преко 3.000 злонамерних видео снимака. Количина је ове године порасла, отприлике утростручивши се, што је приморало Google да уклони највећи део увредљивог материјала. Упркос уклањањима, обим операције и модуларни дизајн омогућавају јој брзу регенерацију.
Како шема функционише: Поверење као оружје
Нападачи отимају легитимне канале или креирају нове и замењују или отпремају видео записе који рекламирају пиратске апликације, варалице за игре (посебно варалице за Roblox) или крековани софтвер. Ови видео записи често изгледају као углачани туторијали и користе видљиве сигнале поверења, велики број прегледа, лајкова и позитивних коментара, како би убедили гледаоце да је садржај безбедан. Многи заражени видео записи су акумулирали стотине хиљада прегледа (пријављени распони: ~147 хиљада–293 хиљада), што мамац чини посебно ефикасним.
Инфраструктура заснована на улогама и отпорна
Снага мреже долази из њене структуре вођене улогама: компромитованим налозима се додељују одређене оперативне дужности тако да кампања може да се настави чак и када су појединачни налози забрањени. Ова архитектура помаже у одржавању континуитета и отежава санацију.
Врсте посматраних рачуна укључују:
Видео налози : Отпремите видео снимке мамаца и поставите линкове за преузимање у описе, закачене коментаре или уграђене у видео водич.
Објавни налози : Објављујте објаве или поруке заједнице које воде ка спољним страницама.
Интеракција налога : Додајте лајкове и охрабрујуће коментаре како бисте створили друштвени доказ и легитимитет.
Ланац испоруке: Куда воде карике
Линкови на које се може кликнути у описима видео снимака, коментарима и објавама преусмеравају гледаоце на сервисе за хостовање датотека (MediaFire, Dropbox, Google Drive) или на фишинг/лендинг странице хостоване на бесплатним платформама (Google Sites, Blogger, Telegraph). Често те дестинације користе скраћиваче URL-ова како би прикриле крајњу мету, која често води до додатних страница које на крају испоручују инсталере или учитаваче.
Примећене породице и учитавачи злонамерног софтвера
Истраживачи су повезали мрежу са више породица које краду информације и Node.js-базираним програмима за учитавање и преузимање, као што су:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, плус разни Node.js учитавачи.
Конкретни примери злостављања
Канал под називом @Sound_Writer (приближно 9.690 претплатника) био је угрожен више од годину дана и коришћен је за хостовање видео снимака везаних за криптовалуте који су користили Rhadamanthys.
Канал под називом @Afonesio1 (око 129.000 претплатника) је отет 3. децембра 2024. и поново 5. јануара 2025. године како би се објавио видео који нуди крековани Adobe Photoshop; дистрибуирани MSI је испоручио Hijack Loader, који је заузврат инсталирао Rhadamanthys.
Зашто Ghost Networks тако добро функционишу
Ове кампање су успешне јер пренамењују сопствене алате за ангажовање платформе како би сигнализирале легитимитет. Подешавање засновано на улогама омогућава брзу замену налога и низак оперативни одлив, тако да чак и када власници платформе уклоне садржај, целокупна кампања опстаје. „Мреже духова“ су јасан пример како се актери претњи прилагођавају тако што користе нормалне друштвене сигнале и функције платформе као оружје.
Шири тренд: Платформе као канали испоруке
Јутјуб није једини по питању злоупотребе — нападачи већ дуго користе отете или новокреиране налоге за објављивање садржаја у стилу туторијала који усмерава жртве ка злонамерним линковима. Друге легитимне услуге и огласне мреже (претраживачи, хостови датотека, сајтови за хостовање кода попут ГитХаба) такође су злоупотребљаване као део дистрибуираних ланаца испоруке (на пример, повезани модел Stargazers Ghost Network).
Шта безбедносни тимови и корисници треба да ураде
Практични кораци за смањење ризика:
- Третирајте нежељени „крековани“ софтвер и преузимања варалица као високо ризичне; преферирајте сајтове продаваца и званичне продавнице.
- Проверите линкове ван платформе пре преузимања; избегавајте праћење скраћених URL-ова без провере њиховог одредишта.
Завршна напомена
Мрежа YouTube Ghost Network илуструје вештину модерних нападача у комбиновању друштвеног инжењеринга са механиком платформе. Пошто операција искоришћава сигнале поверења и модуларну структуру налога, браниоци морају да комбинују едукацију корисника, будност платформе и техничке контроле како би прекинули ланац испоруке и смањили површину претње.
