Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Мережа привидів YouTube

Мережа привидів YouTube

До Mezo року в Шкідливе програмне забезпечення році
Перекласти на:

Кластер шкідливих облікових записів YouTube використовує популярність платформи, щоб просувати шкідливе програмне забезпечення нічого не підозрюючим користувачам. Імітуючи легітимний навчальний контент та контент зі зламаним програмним забезпеченням, а також спираючись на показники залученості, ці учасники перетворюють відео, які виглядають як корисні, на вектори зараження.

Зростаюча, довготривала операція

Кампанія, яка діє з 2021 року і яку дослідники з безпеки називають YouTube Ghost Network, завантажила понад 3000 шкідливих відео. Цього року обсяг зріс приблизно втричі, що змусило Google видалити основну частину шкідливого матеріалу. Незважаючи на видалення, масштаб операції та модульна структура дозволяють їй швидко відновлюватися.

Як працює схема: Довіра як зброя

Зловмисники захоплюють легітимні канали або створюють нові, замінюючи чи завантажуючи відео, що рекламують піратські програми, чіти для ігор (зокрема, чіти для Roblox) або зламане програмне забезпечення. Ці відео часто виглядають як відшліфовані навчальні посібники та використовують видимі сигнали довіри, велику кількість переглядів, лайків та позитивних коментарів, щоб переконати глядачів у безпеці контенту. Багато заражених відео накопичили сотні тисяч переглядів (за повідомленнями, діапазон: ~147 тис.–293 тис.), що робить цю приманку особливо ефективною.

Рольова, стійка інфраструктура

Сила мережі полягає в її рольовій структурі: скомпрометованим обліковим записам призначаються конкретні операційні обов'язки, тому кампанія може продовжуватися навіть за блокування окремих облікових записів. Така архітектура допомагає підтримувати безперервність і ускладнює відновлення.

Типи облікових записів, що спостерігаються, включають:

Відеоакаунти : завантажуйте відео-приманки та розміщуйте посилання для завантаження в описах, закріплених коментарях або вбудованих у відеоінструкції.

Облікові записи публікацій : публікуйте публікації або повідомлення спільноти, що посилаються на зовнішні сторінки.

Взаємодія з обліковими записами : додавайте лайки та заохочувальні коментарі для створення соціальних доказів та легітимності.

Ланцюг поставок: куди ведуть ланки

Клікувальні посилання в описах відео, коментарях та публікаціях перенаправляють глядачів на сервіси хостингу файлів (MediaFire, Dropbox, Google Drive) або на фішингові/цільові сторінки, розміщені на безкоштовних платформах (Google Sites, Blogger, Telegraph). Часто ці цільові сайти використовують скорочувачі URL-адрес, щоб приховати кінцеву ціль, яка часто посилається на додаткові сторінки, що зрештою доставляють інсталятори або завантажувачі.

Спостережувані родини шкідливих програм та завантажувачі

Дослідники пов’язали мережу з кількома сімействами програм для крадіжки інформації та завантажувачами й вивантажувачами на основі Node.js, такими як:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, а також різні завантажувачі Node.js.

Конкретні приклади зловживань

Канал під назвою @Sound_Writer (приблизно 9 690 підписників) був скомпрометований більше року та використовувався для розміщення відео, пов’язаних із криптовалютою, в яких використовувався Rhadamanthys.

Канал під назвою @Afonesio1 (близько 129 000 підписників) був зламаний 3 грудня 2024 року, а потім знову 5 січня 2025 року для публікації відео, що пропонувало зламаний Adobe Photoshop; розповсюджений MSI постачав Hijack Loader, який, у свою чергу, встановлював Rhadamanthys.

Чому мережі-привиди працюють так добре

Ці кампанії успішні, оскільки вони перепрофілюють власні інструменти взаємодії платформи для сигналізації легітимності. Налаштування на основі ролей дозволяє швидко замінювати облікові записи та зменшувати відтік користувачів, тому навіть коли власники платформи видаляють контент, кампанія в цілому виживає. Мережі-привиди є яскравим прикладом того, як зловмисники адаптуються, використовуючи звичайні соціальні сигнали та функції платформи як зброю.

Ширший тренд: платформи як канали доставки

YouTube не є єдиним випадком зловживань — зловмисники вже давно використовують викрадені або щойно створені облікові записи для публікації контенту в стилі навчальних посібників, який перенаправляє жертв до шкідливих посилань. Інші легітимні сервіси та рекламні мережі (пошукові системи, хостинги файлів, сайти хостингу коду, такі як GitHub) також зазнають зловживань як частина розподілених ланцюгів доставки (наприклад, пов’язана модель Stargazers Ghost Network).

Що повинні робити команди безпеки та користувачі

Практичні кроки для зменшення ризику:

  • Ставтеся до небажаного «зламаного» програмного забезпечення та завантаження чітів як до факторів високого ризику; віддавайте перевагу сайтам постачальників та офіційним магазинам.
  • Перевіряйте посилання поза платформою перед завантаженням; уникайте переходу за скороченими URL-адресами без перевірки їхнього призначення.
  • Посилити виявлення сімейств викрадачів та завантажувачів Node.js на рівні мережі та кінцевих точок; відстежувати підозрілу поведінку завантаження з поширених файлових хостингів.
  • Навчіть користувачів не довіряти соціально стійким сигналам (переглядам, лайкам, коментарям), коли вони супроводжують завантаження програмного забезпечення.
  • Виправляйте скомпрометовані канали, скануючи їх на наявність незвичайних завантажень та змінних облікових даних, а також забезпечуйте багатофакторну автентифікацію для творців.

    • Заключна нотатка

    Мережа YouTube Ghost Network ілюструє вміння сучасних зловмисників поєднувати соціальну інженерію з механікою платформи. Оскільки операція використовує сигнали довіри та модульну структуру облікових записів, захисники повинні поєднувати навчання користувачів, пильність платформи та технічні засоби контролю, щоб перервати ланцюжок доставки та зменшити поверхню загрози.

    В тренді

    ПОПЕРЕДЖЕННЯ: Шахрайство з витоком системних ресурсів

    Фішинг, Спам
    Дослідники з кібербезпеки виявили шахрайську схему, відому як «ПОПЕРЕДЖЕННЯ: ВИТОК СИСТЕМНИХ РЕСУРСІВ», яка використовує фальшиві системні сповіщення для введення користувачів в оману. Хоча сторінка, що стоїть за цією схемою, рекламує легітимний додаток, її метод доставки на основі залякування є оманливим і розроблений для маніпулювання користувачами, щоб вони діяли під страхом. Важливо...

    Розширення браузера My Weather Tab

    Потенційно небажані програми, Викрадачі браузера
    Дослідники виявили розширення браузера, відоме як «Моя вкладка погоди». Завдяки всебічній перевірці було встановлено, що це розширення функціонує як форма програмного забезпечення для злому...

    Мегаблокувальник реклами

    Потенційно небажані програми, рекламне ПЗ
    Захист пристроїв від нав'язливого та ненадійного програмного забезпечення є життєво важливим для підтримки конфіденційності, безпеки та продуктивності. Потенційно небажані програми (PUP) часто...

    Найбільше переглянуті

    Шкідливе програмне забезпечення

    Фішинг, Спам
    33,304
    Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

    Fuq.com

    Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
    23,247
    Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
    Завантаження...