YouTube Ghost Network: 3.000 lažnih tutorijala šire malvere preko hakovanih YouTube kanala

Društvene mreže, 24.10.2025, 13:30 PM

Mreža YouTube naloga, nazvana YouTube Ghost Network, koristi popularnost platforme za širenje malvera kroz tutorijale za piratske programe i varalica za igre.

Istraživači iz Check Pointa navode da je mreža aktivna još od 2021. i da je do sada objavljeno više od 3.000 videa. Broj objava se utrostručio od početka godine, a Google je nakon prijave uklonio većinu videa.

Napadači koriste hakovane naloge i menjaju njihov sadržaj, postavljajući „korisne“ videe sa linkovima koji vode do MediaFire, Dropboxa i Google Drivea, ili fišing stranica hostovanih na Google Sites, Bloggeru i Telegraphu, a koji kriju instalacione pakete koji isporučuju malvere (infostealer) poput Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer i Phemedrone Stealer.

„Ova operacija se oslanja na signale poverenja - lajkove, preglede i komentare - da bi zlonamerni sadržaj delovao legitimno. Ono što izgleda kao koristan tutorijal, zapravo je zamka,“ rekao je Eli Smađa, menadžer grupe za istraživanje bezbednosti u Check Pointu.

Korišćenje YouTubea za distribuciju malvera nije nova pojava. Godinama se otimaju legitimni kanali ili koriste novi za objavljivanje video tutorijala sa opisima u kojima se mogu naći linkovi koji vode do malvera.

Ghost Network funkcioniše na sledeći način: sajber kriminalci koriste razne funkcije platforme, kao što su video snimci, opisi, objave, kako bi promovisali zlonamerni sadržaj i distribuirali malvere. Većinu mreže čine kompromitovani YouTube nalozi, kojima se, nakon što postanu deo mreže, dodeljuju određene operativne uloge. Ova struktura zasnovana na ulogama omogućava prikriveniju distribuciju, jer se zabranjeni nalozi mogu brzo zameniti bez ometanja celokupne operacije.

Tako postoje video nalozi sa kojih se objavjuju video snimci sa linkovima za preuzimanje reklamiranog softvera u opisu videa, pinovanim komentarima, ili direktno u samom videu kao deo procesa instalacije.

Post nalozi su takođe deo strukture Ghost Networka, i koriste se za objavljivanje poruka zajednice i postova koji sadrže linkove ka spoljnim sajtovima.

Takođe, tu su i interakcioni nalozi, koji lajkuju i objavljuju komentare kako bi videima dali kredibilitet.

U mnogim od slučajeva, linkovi su skriveni korišćenjem servisa za skraćivanje URL-ova kako bi se prikrilo pravo odredište.

Kompromitovani kanali mogu imati i stotine hiljada pregleda. Jedan od njih, @Afonesio1 sa 129.000 pretplatnika, korišćen je za širenje lažne verzije Photoshopa koja instalira infostealer Rhadamanthys preko Hijack Loadera. Ovaj kanal je hakovan 3. decembra 2024. i 5. januara 2025. godine

Prema Check Pointu, ovakve mreže su novi korak u evoluciji malicioznih kampanja: koriste zvanične platforme i prave naloge da bi izbegle bezbednosne filtere i zadržale kontinuitet i posle banovanja.

Foto: Leon Bublitz | Unsplash