С 2021 года действует масштабная вредоносная операция, получившая от компании Check Point кодовое название "YouTube Ghost Network". Её цель — распространение программ-стилеров, крадущих данные, через тысячи взломанных YouTube-каналов. На данный момент опубликовано более 3000 вредоносных видео, а с начала года их объём утроился. В ответ на обнаружение угрозы компания Google удалила большинство выявленных роликов.
Механизм атаки начинается со взлома легитимных YouTube-аккаунтов. Злоумышленники заменяют оригинальный контент на видео, замаскированные под уроки по использованию пиратского программного обеспечения, например, Adobe Photoshop, читов для игр, таких как Roblox, или инструкций по работе с криптовалютными программами. Эти темы привлекают пользователей, которые ищут подобную информацию.
Для создания иллюзии легитимности и доверия сеть использует сложные методы обмана. Некоторые из вредоносных видео набирают от 147 000 до 293 000 просмотров. Специально созданные аккаунты генерируют лайки и оставляют положительные комментарии, чтобы убедить зрителей в безопасности и полезности контента.
Цепочка доставки вредоносного ПО тщательно продумана. Ссылки на скачивание размещаются в описании видео, закреплённом комментарии или демонстрируются непосредственно в ролике. Часто используются сервисы сокращения URL для маскировки конечного адреса. Пользователей перенаправляют на легитимные файлообменники, такие как MediaFire, Dropbox и Google Drive, или на фишинговые страницы, созданные на доверенных платформах, включая Google Sites, Blogger и Telegraph. На этих страницах и находится финальная ссылка на загрузку установщика, который является вредоносной программой.
Ключом к устойчивости сети является её модульная структура, основанная на распределении ролей между взломанными аккаунтами. Если один канал блокируется, его быстро заменяют другим без нарушения работы всей системы. Сеть состоит из трёх типов учётных записей: "Video-accounts" для загрузки видео, "Post-accounts" для публикации ссылок в постах сообщества и "Interact-accounts", единственная задача которых — повышать доверие к видео с помощью лайков и комментариев.
В качестве примеров скомпрометированных каналов можно привести
Операция распространяет целый ряд вредоносных программ, включая Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer и Phemedrone Stealer. В качестве промежуточного звена также используется загрузчик Hijack Loader и другие загрузчики на основе Node.js.
Исследованием и анализом операции занималась фирма по кибербезопасности Check Point. Клювые специалисты, работавшие над разоблачением сети, — руководитель группы исследования безопасности Эли Смаджа (Eli Smadja) и исследователь безопасности Антонис Терефос (Antonis Terefos).
Данная кампания является частью более широкой тенденции, в рамках которой злоумышленники используют доверенные платформы для распространения вредоносного ПО. Подобные тактики применяются в рекламных сетях Google и Bing, а также на хостинге кода GitHub, где была выявлена схожая кампания под названием "Stargazers Ghost Network".
Использование «призрачных сетей» демонстрирует эволюцию тактик киберпреступников, которые переходят к более устойчивым и эффективным стратегиям, основанным на злоупотреблении доверием пользователей к популярным платформам. Как заявил Эли Смаджа: «То, что выглядит как полезный учебник, на самом деле может оказаться отточенной киберловушкой».
Изображение носит иллюстративный характер
Механизм атаки начинается со взлома легитимных YouTube-аккаунтов. Злоумышленники заменяют оригинальный контент на видео, замаскированные под уроки по использованию пиратского программного обеспечения, например, Adobe Photoshop, читов для игр, таких как Roblox, или инструкций по работе с криптовалютными программами. Эти темы привлекают пользователей, которые ищут подобную информацию.
Для создания иллюзии легитимности и доверия сеть использует сложные методы обмана. Некоторые из вредоносных видео набирают от 147 000 до 293 000 просмотров. Специально созданные аккаунты генерируют лайки и оставляют положительные комментарии, чтобы убедить зрителей в безопасности и полезности контента.
Цепочка доставки вредоносного ПО тщательно продумана. Ссылки на скачивание размещаются в описании видео, закреплённом комментарии или демонстрируются непосредственно в ролике. Часто используются сервисы сокращения URL для маскировки конечного адреса. Пользователей перенаправляют на легитимные файлообменники, такие как MediaFire, Dropbox и Google Drive, или на фишинговые страницы, созданные на доверенных платформах, включая Google Sites, Blogger и Telegraph. На этих страницах и находится финальная ссылка на загрузку установщика, который является вредоносной программой.
Ключом к устойчивости сети является её модульная структура, основанная на распределении ролей между взломанными аккаунтами. Если один канал блокируется, его быстро заменяют другим без нарушения работы всей системы. Сеть состоит из трёх типов учётных записей: "Video-accounts" для загрузки видео, "Post-accounts" для публикации ссылок в постах сообщества и "Interact-accounts", единственная задача которых — повышать доверие к видео с помощью лайков и комментариев.
В качестве примеров скомпрометированных каналов можно привести
@Sound_Writer с 9 690 подписчиками, который более года использовался для загрузки видео о криптовалютном ПО, распространяя стилер Rhadamanthys. Другой канал, @Afonesio1 со 129 000 подписчиков, был скомпрометирован 3 декабря 2024 года и 5 января 2025 года для публикации видео о взломанной версии Adobe Photoshop. Через него распространялся установщик MSI, который сначала загружал Hijack Loader, а тот, в свою очередь, доставлял стилер Rhadamanthys. Операция распространяет целый ряд вредоносных программ, включая Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer и Phemedrone Stealer. В качестве промежуточного звена также используется загрузчик Hijack Loader и другие загрузчики на основе Node.js.
Исследованием и анализом операции занималась фирма по кибербезопасности Check Point. Клювые специалисты, работавшие над разоблачением сети, — руководитель группы исследования безопасности Эли Смаджа (Eli Smadja) и исследователь безопасности Антонис Терефос (Antonis Terefos).
Данная кампания является частью более широкой тенденции, в рамках которой злоумышленники используют доверенные платформы для распространения вредоносного ПО. Подобные тактики применяются в рекламных сетях Google и Bing, а также на хостинге кода GitHub, где была выявлена схожая кампания под названием "Stargazers Ghost Network".
Использование «призрачных сетей» демонстрирует эволюцию тактик киберпреступников, которые переходят к более устойчивым и эффективным стратегиям, основанным на злоупотреблении доверием пользователей к популярным платформам. Как заявил Эли Смаджа: «То, что выглядит как полезный учебник, на самом деле может оказаться отточенной киберловушкой».
