Mạng lưới ma YouTube

Một nhóm tài khoản YouTube độc hại đã lợi dụng sự phổ biến của nền tảng này để phát tán phần mềm độc hại đến những người dùng thiếu cảnh giác. Bằng cách bắt chước nội dung hướng dẫn và bẻ khóa phần mềm hợp pháp, đồng thời dựa vào số liệu thống kê tương tác, những kẻ này biến những video tưởng chừng hữu ích thành mục tiêu lây nhiễm.

Một hoạt động phát triển và lâu dài

Hoạt động từ năm 2021, chiến dịch này — hiện được các nhà nghiên cứu bảo mật đặt tên là YouTube Ghost Network — đã tải lên hơn 3.000 video độc hại. Khối lượng tăng vọt trong năm nay, gần gấp ba lần, buộc Google phải gỡ bỏ phần lớn nội dung vi phạm. Mặc dù đã bị gỡ bỏ, quy mô và thiết kế mô-đun của chiến dịch cho phép nó tái sinh nhanh chóng.

Cách thức hoạt động của chương trình: Niềm tin như một vũ khí

Kẻ tấn công chiếm đoạt các kênh hợp pháp hoặc tạo kênh mới, thay thế hoặc tải lên các video quảng cáo ứng dụng lậu, gian lận trong trò chơi (đặc biệt là gian lận Roblox) hoặc phần mềm bị bẻ khóa. Những video này thường xuất hiện dưới dạng hướng dẫn trau chuốt và sử dụng các tín hiệu tin cậy rõ ràng, lượt xem cao, lượt thích và bình luận tích cực để thuyết phục người xem rằng nội dung an toàn. Nhiều video bị nhiễm đã thu hút hàng trăm nghìn lượt xem (khoảng 147.000–293.000 lượt xem), khiến chiêu trò này đặc biệt hiệu quả.

Cơ sở hạ tầng linh hoạt, dựa trên vai trò

Sức mạnh của mạng lưới đến từ cấu trúc phân quyền: các tài khoản bị xâm phạm được giao nhiệm vụ vận hành cụ thể để chiến dịch có thể tiếp tục ngay cả khi các tài khoản riêng lẻ bị cấm. Kiến trúc này giúp duy trì tính liên tục và làm cho việc khắc phục trở nên khó khăn hơn.

Các loại tài khoản được quan sát bao gồm:

Tài khoản video : Tải lên video mồi và đặt liên kết tải xuống trong phần mô tả, bình luận được ghim hoặc nhúng vào video hướng dẫn.

Tài khoản bài đăng : Đăng bài viết hoặc tin nhắn cộng đồng có liên kết đến các trang bên ngoài.

Tài khoản tương tác : Thêm lượt thích và bình luận khích lệ để tạo bằng chứng xã hội và tính hợp pháp.

Chuỗi giao hàng: Nơi các liên kết dẫn đến

Các liên kết có thể nhấp trong phần mô tả video, bình luận và bài đăng sẽ chuyển hướng người xem đến các dịch vụ lưu trữ tệp (MediaFire, Dropbox, Google Drive) hoặc đến các trang lừa đảo/trang đích được lưu trữ trên các nền tảng miễn phí (Google Sites, Blogger, Telegraph). Thông thường, các trang đích này sử dụng trình rút gọn URL để che giấu mục tiêu cuối cùng, thường liên kết đến các trang bổ sung cuối cùng cung cấp trình cài đặt hoặc trình tải.

Các họ phần mềm độc hại và trình tải được quan sát

Các nhà nghiên cứu đã liên kết mạng với nhiều họ mã độc đánh cắp thông tin và trình tải và trình tải xuống dựa trên Node.js, chẳng hạn như:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, cùng nhiều trình tải Node.js khác.

Ví dụ cụ thể về lạm dụng

Một kênh có tên @Sound_Writer (khoảng 9.690 người đăng ký) đã bị xâm phạm trong hơn một năm và được sử dụng để lưu trữ các video liên quan đến tiền điện tử triển khai Rhadamanthys.

Kênh có tên @Afonesio1 (khoảng 129.000 người đăng ký) đã bị tấn công vào ngày 3 tháng 12 năm 2024 và một lần nữa vào ngày 5 tháng 1 năm 2025 để đăng video giới thiệu Adobe Photoshop bị bẻ khóa; MSI phân phối đã cung cấp Hijack Loader, sau đó cài đặt Rhadamanthys.

Tại sao mạng lưới ma lại hoạt động tốt đến vậy

Những chiến dịch này thành công vì chúng tái sử dụng các công cụ tương tác của nền tảng để báo hiệu tính hợp pháp. Thiết lập dựa trên vai trò cho phép thay thế tài khoản nhanh chóng và tỷ lệ hủy bỏ hoạt động thấp, do đó, ngay cả khi chủ sở hữu nền tảng xóa nội dung, toàn bộ chiến dịch vẫn tồn tại. Ghost Networks là một ví dụ rõ ràng về cách các tác nhân đe dọa thích nghi bằng cách lợi dụng các tín hiệu xã hội và tính năng nền tảng thông thường.

Một xu hướng lớn hơn: Nền tảng như kênh phân phối

YouTube không phải là trường hợp duy nhất bị lợi dụng — kẻ tấn công từ lâu đã sử dụng các tài khoản bị chiếm đoạt hoặc mới tạo để đăng nội dung hướng dẫn, dẫn dắt nạn nhân đến các liên kết độc hại. Các dịch vụ và mạng quảng cáo hợp pháp khác (công cụ tìm kiếm, máy chủ lưu trữ tệp, trang web lưu trữ mã như GitHub) cũng đã bị lợi dụng như một phần của chuỗi phân phối phân tán (ví dụ: mô hình Stargazers Ghost Network liên quan).

Những gì nhóm bảo mật và người dùng nên làm

Các bước thực tế để giảm thiểu rủi ro:

• Coi phần mềm 'bẻ khóa' không được yêu cầu và tải xuống phần mềm gian lận là rủi ro cao; ưu tiên các trang web của nhà cung cấp và cửa hàng chính thức.
• Xác minh các liên kết bên ngoài nền tảng trước khi tải xuống; tránh nhấp vào các URL rút gọn mà không kiểm tra đích đến của chúng.
• Tăng cường phát hiện các nhóm kẻ đánh cắp và trình tải Node.js ở cấp độ mạng và điểm cuối; giám sát hành vi tải xuống đáng ngờ từ các máy chủ lưu trữ tệp phổ biến.

• Giáo dục người dùng không nên tin vào các tín hiệu chứng minh xã hội (lượt xem, lượt thích, bình luận) khi chúng đi kèm với việc tải xuống phần mềm.

• Khắc phục các kênh bị xâm phạm bằng cách quét các nội dung tải lên bất thường và thay đổi thông tin đăng nhập, đồng thời thực thi xác thực đa yếu tố cho người sáng tạo.

Ghi chú kết thúc

YouTube Ghost Network minh họa sự thành thạo của những kẻ tấn công hiện đại trong việc kết hợp kỹ thuật xã hội với cơ chế nền tảng. Vì hoạt động này khai thác các tín hiệu tin cậy và cấu trúc tài khoản mô-đun, nên các bên bảo vệ phải kết hợp đào tạo người dùng, nâng cao cảnh giác nền tảng và kiểm soát kỹ thuật để ngăn chặn chuỗi phân phối và giảm thiểu bề mặt đe dọa.