YouTube Ghost Network
Pinagsasamantalahan ng isang kumpol ng mga nakakahamak na YouTube account ang katanyagan ng platform para itulak ang malware sa mga hindi pinaghihinalaang user. Sa pamamagitan ng paggaya sa lehitimong nilalaman ng tutorial at software-crack at pagsandal sa mga sukatan ng pakikipag-ugnayan, ginagawa ng mga aktor na ito ang mukhang kapaki-pakinabang na mga video sa mga vector ng impeksyon.
Talaan ng mga Nilalaman
Isang Lumalago, Mahabang Pagpapatakbo
Aktibo mula noong 2021, ang campaign — tinawag na ngayong YouTube Ghost Network ng mga security researcher — ay nag-upload ng mahigit 3,000 nakakahamak na video. Ang dami ay tumaas sa taong ito, humigit-kumulang triple, na nagpilit sa Google na alisin ang karamihan ng nakakasakit na materyal. Sa kabila ng mga pagtanggal, pinahihintulutan ito ng sukat ng operasyon at modular na disenyo na mabilis na muling buuin.
Paano Gumagana ang Scheme: Tiwala bilang Armas
Ina-hijack ng mga attacker ang mga lehitimong channel o gumagawa ng mga bago at pinapalitan o nag-a-upload ng mga video na nag-a-advertise ng mga pirated na application, mga cheat ng laro (lalo na ang mga Roblox cheats), o sirang software. Ang mga video na ito ay madalas na lumalabas bilang pinakintab na mga tutorial at gumagamit ng mga nakikitang signal ng tiwala, mataas na bilang ng panonood, pag-like, at positibong komento, upang kumbinsihin ang mga manonood na ligtas ang nilalaman. Maraming mga nahawaang video ang nakakuha ng daan-daang libong panonood (mga iniulat na saklaw: ~147k–293k), na ginagawang mas epektibo ang pang-akit.
Isang Role-Based, Resilient Infrastructure
Ang lakas ng network ay nagmumula sa istrukturang hinihimok ng tungkulin nito: ang mga nakompromisong account ay itinalaga ng mga partikular na tungkulin sa pagpapatakbo upang magpatuloy ang kampanya kahit na ang mga indibidwal na account ay pinagbawalan. Nakakatulong ang arkitektura na ito na mapanatili ang pagpapatuloy at ginagawang mas mahirap ang remediation.
Ang mga uri ng mga account na naobserbahan ay kinabibilangan ng:
Mga video‑account : Mag-upload ng mga pain na video at maglagay ng mga link sa pag-download sa mga paglalarawan, naka-pin na komento, o naka-embed sa walkthrough ng video.
Mga post-account : Mag-publish ng mga post o mensahe ng komunidad na nagli-link sa mga panlabas na pahina.
Mga Interact‑account : Magdagdag ng mga gusto at naghihikayat na mga komento upang makagawa ng panlipunang patunay at pagiging lehitimo.
Delivery Chain: Kung Saan Nangunguna ang Mga Link
Ang mga naki-click na link sa mga paglalarawan ng video, komento, at post ay nagre-redirect ng mga manonood sa mga serbisyo ng pagho-host ng file (MediaFire, Dropbox, Google Drive) o sa mga phishing/landing page na naka-host sa mga libreng platform (Google Sites, Blogger, Telegraph). Kadalasan, ang mga patutunguhan na iyon ay gumagamit ng mga URL shorteners upang takpan ang panghuling target, na kadalasang nagli-link sa mga karagdagang page na sa huli ay naghahatid ng mga installer o loader.
Naobserbahan ang Mga Pamilya at Mga Loader ng Malware
Iniugnay ng mga mananaliksik ang network sa maraming pamilyang nagnanakaw ng impormasyon at mga loader at downloader na nakabatay sa Node.js, gaya ng:
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, at iba't ibang Node.js loader.
Mga Konkretong Halimbawa ng Pang-aabuso
Ang isang channel na tinatawag na @Sound_Writer (tinatayang 9,690 subscriber) ay nakompromiso nang higit sa isang taon at ginamit upang mag-host ng mga video na nauugnay sa cryptocurrency na nag-deploy ng Rhadamanthys.
Ang channel na pinangalanang @Afonesio1 (mga 129,000 subscriber) ay na-hijack noong Disyembre 3, 2024 at muli noong Enero 5, 2025 para mag-post ng video na nag-aalok ng basag na Adobe Photoshop; ang ipinamahagi na MSI ay naghatid ng Hijack Loader, na siya namang nag-install ng Rhadamanthys.
Bakit Napakahusay ng Ghost Networks
Nagtatagumpay ang mga campaign na ito dahil muling ginagamit ng mga ito ang sariling mga tool sa pakikipag-ugnayan ng platform upang ipahiwatig ang pagiging lehitimo. Ang pag-setup na nakabatay sa tungkulin ay nagbibigay-daan sa mabilis na pagpapalit ng account at mababang operational churn, kaya kahit na nag-alis ng content ang mga may-ari ng platform, nananatili ang pangkalahatang campaign. Ang Ghost Networks ay isang malinaw na halimbawa ng kung paano umaangkop ang mga aktor sa pagbabanta sa pamamagitan ng paggamit ng mga normal na social signal at feature ng platform.
Mas Malaking Trend: Mga Platform bilang Mga Delivery Channel
Ang YouTube ay hindi natatangi sa pagiging inabuso — matagal nang gumagamit ng mga na-hijack o bagong likhang account ang mga umaatake upang mag-post ng nilalamang istilo ng tutorial na nagtutulak sa mga biktima sa mga nakakahamak na link. Ang iba pang mga lehitimong serbisyo at network ng ad (mga search engine, file host, code hosting site tulad ng GitHub) ay inabuso din bilang bahagi ng mga distributed delivery chain (halimbawa, ang nauugnay na modelo ng Stargazers Ghost Network).
Ano ang Dapat Gawin ng Mga Security Team at User
Mga praktikal na hakbang upang mabawasan ang panganib:
- Tratuhin ang hindi hinihinging 'basag' na software at cheat download bilang mataas na panganib; mas gusto ang mga site ng vendor at mga opisyal na tindahan.
- I-verify ang mga link sa labas ng platform bago mag-download; iwasan ang pagsunod sa mga pinaikling URL nang hindi tinitingnan ang kanilang patutunguhan.
Pangwakas na Tala
Ang YouTube Ghost Network ay naglalarawan ng katatasan ng mga makabagong umaatake sa paghahalo ng social engineering sa platform mechanics. Dahil sinasamantala ng operasyon ang mga signal ng tiwala at isang modular na istraktura ng account, dapat pagsamahin ng mga defender ang edukasyon ng user, pagbabantay sa platform, at mga teknikal na kontrol upang matakpan ang chain ng paghahatid at bawasan ang banta.
