Check Point идентифицира голяма, организирана мрежа от YouTube акаунти – кодово наречена YouTube Ghost Network – която публикува и промотира видеа, водещи до сваляне на зловреден софтуер. Операцията, активна от 2021 г., е качила над 3 000 злонамерени видеа, а обемът им се е утроил от началото на годината. Google вече е премахнал голяма част от материалите, но моделът на атаките показва устойчив и мащабируем механизъм за разпространение на малуер.

Как работи мрежата

Атаката използва компрометирани легитимни канали и/или контролирани от нападатели профили, като заменя съдържанието с „уроци“ и „трeйнъри“ за пиратски софтуер и чийтове за Roblox. Тези видеа изглеждат достоверни благодарение на зрителски показатели – гледания, харесвания и коментари – които оставят впечатление за легитимност. Някои клипове са събрали между 147 000 и 293 000 гледания.

Check Point описва роля-базираната структура на мрежата, която й осигурява устойчивост – забранен акаунт бързо се заменя с друг, без да прекъсва операцията. В рамките на мрежата има три основни типа акаунти:

• Video-accounts – качват фишинг/зловредни видеа и поставят линкове в описанието или като закрепени коментари;

• Post-accounts – публикуват community posts с връзки;

• Interact-accounts – симулират ангажираност чрез лайкове и мотивиращи коментари, за да повишат доверието.

Линковете водят към услуги като MediaFire, Dropbox, Google Drive, или към фишинг страници на Google Sites, Blogger, Telegraph, които съдържат последващи връзки към изпълними файлове. Често се използват URL-shorteners, за да се скрие истинската дестинация.

Какъв малуер се разпространява

Събраните данни сочат, че кампанията разпространява предимно инфостийлъри и „loaders“, включително:

• Lumma Stealer, Rhadamanthys Stealer, StealC, RedLine Stealer, Phemedrone;

• Node.js-базирани downloaders и load-ери;

• комплекти, които извличат браузърни пароли, бисквитки, крипто-артефакти и други чувствителни файлове.

Примери за компрометирани канали, използвани в кампанията: @Sound_Writer (≈9.7k абонати) и @Afonesio1 (≈129k абонати), като при втория е регистриран компромис, след който е качен MSI инсталатор, разпространяващ Hijack Loader → Rhadamanthys.

Защо този модел е ефективен и опасен

• Доверие и показатели – високите гледания, харесвания и коментари създават „социално доказателство“, което намалява подозрението на потребителя.

• Платформена легитимност – хостингът в YouTube (легитимен домейн, SSL, достоверен интерфейс) намалява възможността потребителят да маркира съдържанието като съмнително.

• Ротация и устойчивост – ролите и разделението на задачите позволяват бърза подмяна на свалени акаунти.

• Многостепенна доставка – използване на клауд услуги и URL-shortener-и за да се маскира вектора; понякога доставката минава през GitHub или други платформи.

Практически индикатори за компрометиране и наблюдение (IOCs / TTPs)

1. Видеа/канали, които внезапно сменят тематиката си към „crack/patch/roblox cheat/cracked software“.

2. Описания или закрепени коментари с URL към MediaFire/Dropbox/drive.google/bit.ly/shorteners.

3. Community posts от свързани акаунти, насочващи към същите домейни.

4. Няколко акаунта с координирани коментари, единни фрази и подкрепящи клиенти.

5. MSI/EXE/MSI инсталатори, представяни като „trainer“ или „cracked installer“.

6. Домейни/връзки към Google Sites/Blogger/Telegraph, водещи до последващи download-стрингове.

7. Наличието на известни стийлъри (Rhadamanthys, RedLine, Lumma и др.) в разархивираните пакети.

Препоръки за ИТ и екипи по сигурността – как да се защитим

За крайни потребители

• Никога не сваляйте софтуер от YouTube описания или нерегламентирани източници; използвайте официални сайтове и платформи.

• Активирайте MFA и премахнете съхранени пароли от браузъра; съхранявайте ги в доверен мениджър на пароли.

• Не стартирайте изпълними файлове (EXE/MSI) от непроверени източници; качвайте и сканирайте прикачени файлове в sandbox.

За организациите и SOC екипите

• Мониторинг на URL трафик – блокирайте/анализирайте download от услуги за анонимно споделяне и URL shorteners; логвайте изходящи заявки към MediaFire/Dropbox/drive.google, Google Sites/Telegraph.

• EDR/AV с поведенчески профили – следете за процеси, които разархивират MSI/EXE в профила на потребителя, изпълняват PowerShell/Base64 скриптове или стартират неочаквани браузърни модификации.

• Network sandboxing – изолирайте първоначалните скачвания в sandbox преди позволяване на изпълнение.

• Threat intel интеграция – импортнете домейни/линкове/MD5/SHA от отчетите на Check Point и прочие, и ги разпространете в SIEM/Proxy блоклистове.

• Обучение – целенасочени кампании за осведоменост, включително примери с YouTube-traps и демонстрации на фалшиви описания.

• Политика за сваляне – разрешавайте изпълним софтуер само от whitelisted домейни/публикувани софтуерни репозитории.

• Сътрудничество с платформите – бързо докладване на компрометирани канали и видеа към Google; координация с доставчици за премахване и проследяване на повторни заплахи.

YouTube Ghost Network демонстрира нова вълна на зловредно повторно използване на легитимни платформи – противникът не атакува само крайното устройство, а експлоатира социалното доверие и механиките на ангажираност на платформите. Комбинацията от компрометирани акаунти, бекенд хостинг на легитимни облачни услуги и роля-базирана устойчивост прави тези кампании тежко предизвикателство за традиционните защитни слоеве. Ефективният отговор изисква технически контроли, проактивен мониторинг и активна образователна работа с потребителите.