YouTube 幽靈網絡

一群惡意 YouTube 帳戶利用該平台的受歡迎程度，向毫無戒心的用戶推送惡意軟體。這些惡意帳號模仿合法的教學和軟體破解內容，並利用用戶參與度指標，將看似有用的影片變成了感染媒介。

一項不斷發展、長期營運的業務

該活動自2021年起活躍，現已被安全研究人員稱為“YouTube幽靈網路”，已上傳超過3000個惡意影片。今年，其數量激增，大約增長了兩倍，迫使谷歌刪除了大部分違規內容。儘管已被刪除，但該活動的規模和模組化設計使其能夠迅速再生。

騙局如何運作：信任作為武器

攻擊者會劫持合法頻道或創建新頻道，替換或上傳宣傳盜版應用程式、遊戲作弊（尤其是 Roblox 作弊）或破解軟體的影片。這些影片通常以精美的教學形式出現，並使用明顯的信任訊號、高觀看次數、按讚和正面評論來說服觀眾內容是安全的。許多受感染影片的觀看次數已達數十萬次（報告顯示約為 14.7 萬至 29.3 萬次），這使得這種誘惑尤為有效。

基於角色的彈性基礎設施

這個網路的優勢源自於其角色驅動的結構：被竊帳戶會被指派特定的操作任務，即使個別帳戶被封鎖，攻擊活動也能繼續進行。這種架構有助於保持攻擊的連續性，並加大了修復的難度。

觀察到的帳戶類型包括：

視頻帳戶：上傳誘餌視頻，並將下載鏈接放在描述、置頂評論或嵌入視頻演示中。

貼文帳號：發佈連結到外頁的社群貼文或訊息。

互動帳戶：增加讚和鼓勵性評論，以製造社會認同和合法性。

交付鏈：連結指向何處

影片描述、評論和貼文中的可點擊連結會將觀眾重新導向至檔案寄存服務（MediaFire、Dropbox、Google Drive）或託管在免費平台（Google Sites、Blogger、Telegraph）上的釣魚/登陸頁面。這些目標網站通常會使用 URL 縮短器來隱藏最終目標，而最終目標通常會連結到其他頁面，最終提供安裝程式或載入程式。

觀察到的惡意軟體家族和載入器

研究人員已將該網路與多個資訊竊取家族以及基於 Node.js 的載入器和下載器聯繫起來，例如：

Lumma Stealer、 Rhadamanthys Stealer 、StealC Stealer、 RedLine Stealer 、Phemedrone Stealer，以及各種 Node.js 載入器。

虐待的具體例子

一個名為@Sound_Writer（約 9,690 名訂閱者）的頻道被入侵了一年多，並用於託管部署 Rhadamanthys 的加密貨幣相關影片。

名為@Afonesio1 的頻道（約 129,000 名訂閱者）於 2024 年 12 月 3 日被劫持，並於 2025 年 1 月 5 日再次被劫持，以發布提供破解的 Adobe Photoshop 的視頻；分佈式 MSI 提供了 Hiader Load，而安裝了 Hijacksjack。

幽靈網路為何如此有效

這些活動之所以成功，是因為它們重新利用了平台自身的互動工具來顯示其合法性。基於角色的設定允許快速更換帳戶並降低營運流失率，因此即使平台所有者刪除內容，整個活動也能繼續存在。幽靈網路就是一個典型的例子，它展示了威脅行為者如何利用正常的社交訊號和平台功能進行武器化。

更大的趨勢：平台作為交付管道

YouTube 並非唯一被濫用的網站——攻擊者長期以來一直利用被劫持或新創建的帳戶發布教程式內容，將受害者引導至惡意連結。其他合法服務和廣告網路（搜尋引擎、檔案託管服務、GitHub 等程式碼託管網站）也曾被濫用，成為分散式傳播鏈的一部分（例如，相關的 Stargazers Ghost Network 模型）。

安全團隊和使用者應該做什麼

降低風險的實際步驟：

• 將未經請求的「破解」軟體和欺騙下載視為高風險；優先選擇供應商網站和官方商店。
• 下載前請先驗證平台外的連結；避免在未檢查目的地的情況下點擊縮短的 URL。

結束語

YouTube幽靈網路展現了現代攻擊者將社會工程與平台機制巧妙結合的嫻熟技藝。由於該行動利用了信任訊號和模組化帳戶結構，防禦者必須結合使用者教育、平台警戒和技術控制，才能阻斷傳播鏈並縮小威脅面。