เครือข่ายผี YouTube

กลุ่มบัญชี YouTube อันตรายได้ใช้ประโยชน์จากความนิยมของแพลตฟอร์มเพื่อส่งมัลแวร์ไปยังผู้ใช้ที่ไม่ทันระวังตัว ด้วยการเลียนแบบเนื้อหาการสอนและเนื้อหาการแคร็กซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และใช้ตัวชี้วัดการมีส่วนร่วม ผู้กระทำเหล่านี้จึงเปลี่ยนสิ่งที่ดูเหมือนวิดีโอที่มีประโยชน์ให้กลายเป็นช่องทางการติดเชื้อ

การดำเนินงานที่กำลังเติบโตและดำเนินมายาวนาน

แคมเปญนี้ซึ่งปัจจุบันนักวิจัยด้านความปลอดภัยเรียกว่า YouTube Ghost Network ดำเนินมาตั้งแต่ปี 2021 ได้อัปโหลดวิดีโออันตรายมากกว่า 3,000 รายการ ปริมาณวิดีโอเพิ่มขึ้นอย่างมากในปีนี้ ประมาณสามเท่า ซึ่งทำให้ Google ต้องลบเนื้อหาที่ไม่เหมาะสมออกไปจำนวนมาก แม้จะมีการลบเนื้อหาออก แต่ขนาดและการออกแบบแบบแยกส่วนของการดำเนินการทำให้สามารถสร้างวิดีโอใหม่ได้อย่างรวดเร็ว

โครงการนี้ทำงานอย่างไร: ความไว้วางใจเป็นอาวุธ

ผู้โจมตีจะเข้ายึดช่องที่ถูกกฎหมายหรือสร้างช่องใหม่ และแทนที่หรืออัปโหลดวิดีโอที่โฆษณาแอปพลิเคชันละเมิดลิขสิทธิ์ โปรแกรมโกงเกม (โดยเฉพาะโปรแกรมโกง Roblox) หรือซอฟต์แวร์ที่ถอดรหัสได้ วิดีโอเหล่านี้มักปรากฏเป็นบทช่วยสอนที่ดูดี และใช้สัญญาณความน่าเชื่อถือที่มองเห็นได้ จำนวนการรับชมที่สูง ยอดไลก์ และความคิดเห็นเชิงบวก เพื่อโน้มน้าวผู้ชมว่าเนื้อหานั้นปลอดภัย วิดีโอที่ติดไวรัสจำนวนมากมียอดการรับชมหลายแสนครั้ง (ช่วงที่รายงานคือ ~147,000–293,000 ครั้ง) ซึ่งทำให้การล่อลวงนี้มีประสิทธิภาพอย่างยิ่ง

โครงสร้างพื้นฐานที่มีความยืดหยุ่นตามบทบาท

ความแข็งแกร่งของเครือข่ายมาจากโครงสร้างที่ขับเคลื่อนด้วยบทบาท: บัญชีที่ถูกบุกรุกจะได้รับมอบหมายหน้าที่ปฏิบัติการเฉพาะ เพื่อให้แคมเปญสามารถดำเนินต่อไปได้แม้ในขณะที่บัญชีส่วนบุคคลถูกแบน สถาปัตยกรรมนี้ช่วยรักษาความต่อเนื่องและทำให้การแก้ไขปัญหาทำได้ยากขึ้น

ประเภทของบัญชีที่สังเกตได้แก่:

บัญชีวิดีโอ : อัปโหลดวิดีโอล่อใจและวางลิงก์ดาวน์โหลดในคำอธิบาย ความคิดเห็นที่ปักหมุด หรือฝังไว้ในวิดีโอแนะนำ

บัญชีโพสต์ : เผยแพร่โพสต์หรือข้อความชุมชนที่ลิงก์ไปยังหน้าภายนอก

บัญชีโต้ตอบ : เพิ่มไลค์และสนับสนุนความคิดเห็นเพื่อสร้างหลักฐานทางสังคมและความชอบธรรม

ห่วงโซ่อุปทาน: การเชื่อมโยงนำไปสู่ที่ใด

ลิงก์ที่คลิกได้ในคำอธิบายวิดีโอ ความคิดเห็น และโพสต์จะนำผู้ชมไปยังบริการโฮสต์ไฟล์ (MediaFire, Dropbox, Google Drive) หรือไปยังฟิชชิ่ง/แลนดิ้งเพจที่โฮสต์บนแพลตฟอร์มฟรี (Google Sites, Blogger, Telegraph) บ่อยครั้งที่ปลายทางเหล่านั้นใช้ตัวย่อ URL เพื่อบดบังเป้าหมาย ซึ่งมักจะลิงก์ไปยังหน้าเพิ่มเติมที่ส่งตัวติดตั้งหรือตัวโหลดในที่สุด

ตรวจพบกลุ่มมัลแวร์และตัวโหลด

นักวิจัยได้เชื่อมโยงเครือข่ายเข้ากับตระกูลการขโมยข้อมูลหลายตระกูลและตัวโหลดและดาวน์โหลดที่ใช้ Node.js เช่น:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer รวมถึงตัวโหลด Node.js ต่างๆ

ตัวอย่างที่เป็นรูปธรรมของการละเมิด

ช่องที่ชื่อว่า @Sound_Writer (มีผู้ติดตามประมาณ 9,690 คน) ถูกบุกรุกมานานกว่าหนึ่งปี และถูกใช้เพื่อโฮสต์วิดีโอที่เกี่ยวข้องกับสกุลเงินดิจิทัลที่ใช้ Rhadamanthys

ช่องชื่อ @Afonesio1 (มีผู้ติดตามประมาณ 129,000 คน) ถูกแฮ็กเมื่อวันที่ 3 ธันวาคม 2024 และถูกแฮ็กอีกครั้งในวันที่ 5 มกราคม 2025 เพื่อโพสต์วิดีโอที่เสนอโปรแกรม Adobe Photoshop ที่ถูกแคร็ก ซึ่ง MSI แบบกระจายได้ส่งมอบ Hijack Loader ซึ่งทำการติดตั้ง Rhadamanthys ในภายหลัง

เหตุใด Ghost Network จึงทำงานได้ดี

แคมเปญเหล่านี้ประสบความสำเร็จเพราะนำเครื่องมือการมีส่วนร่วมของแพลตฟอร์มมาปรับใช้ใหม่เพื่อแสดงถึงความชอบธรรม การตั้งค่าตามบทบาทช่วยให้สามารถเปลี่ยนบัญชีได้อย่างรวดเร็วและมีอัตราการยกเลิกการใช้งานต่ำ ดังนั้นแม้ว่าเจ้าของแพลตฟอร์มจะลบเนื้อหาออกไป แต่แคมเปญโดยรวมก็ยังคงอยู่รอด Ghost Networks เป็นตัวอย่างที่ชัดเจนของการที่ผู้คุกคามปรับตัวอย่างไรโดยการนำสัญญาณทางสังคมและฟีเจอร์ต่างๆ ของแพลตฟอร์มมาใช้เป็นอาวุธ

แนวโน้มที่ใหญ่กว่า: แพลตฟอร์มเป็นช่องทางการจัดส่ง

YouTube ไม่ได้เป็นเพียงแพลตฟอร์มเดียวที่ถูกละเมิดสิทธิ์ — ผู้โจมตีได้ใช้บัญชีที่ถูกแฮ็กหรือบัญชีที่เพิ่งสร้างขึ้นใหม่เพื่อโพสต์เนื้อหาแบบวิดีโอสอนการใช้งาน ซึ่งจะนำเหยื่อไปยังลิงก์อันตราย บริการและเครือข่ายโฆษณาอื่นๆ ที่ถูกกฎหมาย (เช่น เครื่องมือค้นหา โฮสต์ไฟล์ เว็บไซต์โฮสต์โค้ดอย่าง GitHub) ก็ถูกละเมิดสิทธิ์เช่นกัน โดยเป็นส่วนหนึ่งของเครือข่ายการจัดส่งแบบกระจาย (เช่น โมเดล Stargazers Ghost Network ที่เกี่ยวข้อง)

สิ่งที่ทีมงานและผู้ใช้ด้านความปลอดภัยควรทำ

ขั้นตอนปฏิบัติเพื่อลดความเสี่ยง:

• ถือว่าซอฟต์แวร์ 'แคร็ก' ที่ไม่ได้ร้องขอและการดาวน์โหลดโปรแกรมโกงมีความเสี่ยงสูง ควรเลือกใช้เว็บไซต์ของผู้จำหน่ายและร้านค้าอย่างเป็นทางการ
• ตรวจสอบลิงก์นอกแพลตฟอร์มก่อนดาวน์โหลด หลีกเลี่ยงการติดตาม URL สั้นโดยไม่ตรวจสอบปลายทาง

หมายเหตุปิดท้าย

YouTube Ghost Network แสดงให้เห็นถึงความคล่องแคล่วของผู้โจมตียุคใหม่ในการผสมผสานวิศวกรรมสังคมเข้ากับกลไกของแพลตฟอร์ม เนื่องจากปฏิบัติการนี้ใช้ประโยชน์จากสัญญาณความน่าเชื่อถือและโครงสร้างบัญชีแบบโมดูลาร์ ผู้ป้องกันจึงต้องผสมผสานการให้ความรู้แก่ผู้ใช้ ความระมัดระวังของแพลตฟอร์ม และการควบคุมทางเทคนิค เพื่อขัดขวางห่วงโซ่อุปทานและลดภัยคุกคาม