Rabattoffert för flera licenser
Hotdatabas Skadlig programvara YouTube Ghost Network

YouTube Ghost Network

Med Mezo år Skadlig programvara
Översätt till:

Ett kluster av skadliga YouTube-konton har utnyttjat plattformens popularitet för att skicka skadlig kod till intet ont anande användare. Genom att härma legitimt innehåll från handledningar och programvaruhacker och förlita sig på engagemangsstatistik förvandlar dessa aktörer vad som ser ut som hjälpsamma videor till infektionsvektorer.

En växande, långvarig verksamhet

Kampanjen – som säkerhetsforskare nu kallar YouTube Ghost Network – har varit aktiv sedan 2021 och har laddat upp över 3 000 skadliga videor. Volymen ökade kraftigt i år, ungefär tredubblades, vilket tvingade Google att ta bort huvuddelen av det stötande materialet. Trots borttagningarna gör verksamhetens skala och modulära design att den kan regenereras snabbt.

Hur systemet fungerar: Förtroende som ett vapen

Angripare kapar legitima kanaler eller skapar nya och ersätter eller laddar upp videor som marknadsför piratkopierade appar, spelfusk (särskilt Roblox-fusk) eller knäckt programvara. Dessa videor visas ofta som polerade handledningar och använder synliga förtroendesignaler, höga visningsantal, gilla-markeringar och positiva kommentarer för att övertyga tittarna om att innehållet är säkert. Många infekterade videor har samlat hundratusentals visningar (rapporterade intervall: ~147k–293k), vilket gör lockbetet särskilt effektivt.

En rollbaserad, motståndskraftig infrastruktur

Nätverkets styrka kommer från dess rollstyrda struktur: komprometterade konton tilldelas specifika operativa uppgifter så att kampanjen kan fortsätta även när enskilda konton är avstängda. Denna arkitektur hjälper till att upprätthålla kontinuitet och gör åtgärdande svårare.

Typer av observerade konton inkluderar:

Videokonton : Ladda upp lockande videor och placera nedladdningslänkar i beskrivningar, fästa kommentarer eller bädda in i videogenomgången.

Postkonton : Publicera communityinlägg eller meddelanden som länkar till externa sidor.

Interagera konton : Lägg till gilla-markeringar och uppmuntrande kommentarer för att skapa sociala bevis och legitimitet.

Leveranskedjan: Dit länkarna leder

Klickbara länkar i videobeskrivningar, kommentarer och inlägg omdirigerar tittare till filtjänster (MediaFire, Dropbox, Google Drive) eller till nätfiske-/landningssidor som finns på gratisplattformar (Google Sites, Blogger, Telegraph). Ofta använder dessa destinationer URL-förkortare för att dölja det slutgiltiga målet, som ofta länkar till ytterligare sidor som i slutändan levererar installations- eller laddarprogram.

Observerade familjer av skadlig kod och laddare

Forskare har kopplat nätverket till flera informationsstöldfamiljer och Node.js-baserade laddare och nedladdare, såsom:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, plus olika Node.js-laddare.

Konkreta exempel på övergrepp

En kanal som heter @Sound_Writer (cirka 9 690 prenumeranter) var inaktiverad i mer än ett år och användes för att vara värd för kryptovalutarelaterade videor som använde Rhadamanthys.

Kanalen @Afonesio1 (cirka 129 000 prenumeranter) kapades den 3 december 2024 och igen den 5 januari 2025 för att publicera en video som erbjöd en knäckt Adobe Photoshop; den distribuerade MSI levererade Hijack Loader, som i sin tur installerade Rhadamanthys.

Varför spöknätverk fungerar så bra

Dessa kampanjer lyckas eftersom de återanvänder plattformens egna engagemangsverktyg för att signalera legitimitet. Den rollbaserade uppsättningen möjliggör snabb kontoutbyte och låg operationell churn, så även när plattformsägare tar bort innehåll överlever kampanjen som helhet. Spöknätverk är ett tydligt exempel på hur hotaktörer anpassar sig genom att använda vanliga sociala signaler och plattformsfunktioner som vapen.

En större trend: Plattformar som leveranskanaler

YouTube är inte unikt när det gäller att utsättas för missbruk – angripare har länge använt kapade eller nyskapade konton för att publicera innehåll i handledningsstil som leder offer till skadliga länkar. Andra legitima tjänster och annonsnätverk (sökmotorer, filvärdar, kodvärdssajter som GitHub) har också missbrukats som en del av distribuerade leveranskedjor (till exempel den relaterade modellen Stargazers Ghost Network).

Vad säkerhetsteam och användare bör göra

Praktiska steg för att minska risken:

  • Behandla oönskad "knäckt" programvara och fusknedladdningar som högrisk; föredra leverantörswebbplatser och officiella butiker.
  • Verifiera länkar utanför plattformen innan nedladdning; undvik att följa förkortade webbadresser utan att kontrollera deras destination.
  • Förstärk detektering för stöldfamiljer och Node.js-laddare på nätverks- och slutpunktsnivå; övervaka misstänkt nedladdningsbeteende från vanliga filvärdar.
  • Utbilda användare att misstro sociala bevis (visningar, gilla-markeringar, kommentarer) när de åtföljer nedladdningar av programvara.
  • Åtgärda komprometterade kanaler genom att skanna efter ovanliga uppladdningar och rotera inloggningsuppgifter, och tillämpa multifaktorautentisering för kreatörer.

    • Avslutande anmärkning

    YouTube Ghost Network illustrerar moderna angripares förmåga att kombinera social ingenjörskonst med plattformsmekanik. Eftersom operationen utnyttjar förtroendesignaler och en modulär kontostruktur måste försvarare kombinera användarutbildning, plattformsvaksamhet och tekniska kontroller för att avbryta leveranskedjan och minska hotytan.

    Trendigt

    Mest sedda

    Läser in...