YouTube 幽灵网络
一群恶意 YouTube 账户利用该平台的受欢迎程度,向毫无戒心的用户推送恶意软件。这些恶意账户模仿合法的教程和软件破解内容,并利用用户参与度指标,将看似有用的视频变成了感染媒介。
目录
一项不断发展、长期运营的业务
该活动自2021年起活跃,现已被安全研究人员称为“YouTube幽灵网络”,已上传超过3000个恶意视频。今年,其数量激增,大约增长了两倍,迫使谷歌删除了大部分违规内容。尽管已被删除,但该活动的规模和模块化设计使其能够迅速再生。
骗局如何运作:信任作为武器
攻击者会劫持合法频道或创建新频道,替换或上传宣传盗版应用程序、游戏作弊(尤其是 Roblox 作弊)或破解软件的视频。这些视频通常以精美的教程形式出现,并使用明显的信任信号、高观看次数、点赞和积极评论来说服观看者内容是安全的。许多受感染视频的观看次数已达数十万次(报告显示约为 14.7 万至 29.3 万次),这使得这种诱惑尤为有效。
基于角色的弹性基础设施
该网络的优势源于其角色驱动的结构:被盗账户会被分配特定的操作任务,即使个别账户被封禁,攻击活动也能继续进行。这种架构有助于保持攻击的连续性,并加大了修复的难度。
观察到的账户类型包括:
视频帐户:上传诱饵视频,并将下载链接放在描述、置顶评论或嵌入视频演示中。
帖子账户:发布链接到外部页面的社区帖子或消息。
互动账户:添加点赞和鼓励性评论,以制造社会认同和合法性。
交付链:链接指向何处
视频描述、评论和帖子中的可点击链接会将观看者重定向到文件托管服务(MediaFire、Dropbox、Google Drive)或托管在免费平台(Google Sites、Blogger、Telegraph)上的钓鱼/登陆页面。这些目标网站通常会使用 URL 缩短器来隐藏最终目标,而最终目标通常会链接到其他页面,最终提供安装程序或加载程序。
观察到的恶意软件家族和加载器
研究人员已将该网络与多个信息窃取家族以及基于 Node.js 的加载器和下载器联系起来,例如:
Lumma Stealer、 Rhadamanthys Stealer 、StealC Stealer、 RedLine Stealer 、Phemedrone Stealer,以及各种 Node.js 加载器。
虐待的具体例子
一个名为@Sound_Writer(约有 9,690 名订阅者)的频道被入侵了一年多,并用于托管部署 Rhadamanthys 的加密货币相关视频。
名为@Afonesio1 的频道(约有 129,000 名订阅者)于 2024 年 12 月 3 日被劫持,并于 2025 年 1 月 5 日再次被劫持,以发布提供破解的 Adobe Photoshop 的视频;分布式 MSI 提供了 Hijack Loader,进而安装了 Rhadamanthys。
幽灵网络为何如此有效
这些活动之所以成功,是因为它们重新利用了平台自身的互动工具来表明其合法性。基于角色的设置允许快速更换账户并降低运营流失率,因此即使平台所有者删除内容,整个活动也能继续存在。幽灵网络是一个典型的例子,它展示了威胁行为者如何利用正常的社交信号和平台功能进行武器化。
更大的趋势:平台作为交付渠道
YouTube 并非唯一一个被滥用的网站——攻击者长期以来一直利用被劫持或新创建的账户发布教程式内容,将受害者引导至恶意链接。其他合法服务和广告网络(搜索引擎、文件托管服务、GitHub 等代码托管网站)也曾被滥用,成为分布式传播链的一部分(例如,相关的 Stargazers Ghost Network 模型)。
安全团队和用户应该做什么
降低风险的实际步骤:
- 将未经请求的“破解”软件和欺骗下载视为高风险;优先选择供应商网站和官方商店。
- 下载前请验证平台外的链接;避免在未检查目的地的情况下点击缩短的 URL。
结束语
YouTube幽灵网络展现了现代攻击者将社会工程学与平台机制巧妙结合的娴熟技艺。由于该行动利用了信任信号和模块化账户结构,防御者必须结合用户教育、平台警戒和技术控制,才能阻断传播链并减少威胁面。
