- Автор темы
- #1
Специалисты Google удалили с YouTube более 3000 видео, которые распространяли инфостилеры под видом взломанного софта и читов для игр. Исследователи Check Point дали этой кампании имя YouTube Ghost Network и сообщают, что она была активна с 2021 года, резко активизировавшись в 2025 году, когда число вредоносных видео утроилось.
По информации исследователей, стоящие за этими атаками злоумышленники захватывали легитимные аккаунты YouTube и от их лица публиковали туториалы, обещавшие бесплатные пиратские версии Photoshop, FL Studio, а также читы и хаки для Roblox. Вместо обещанного софта жертвы получали стилеры Rhadamanthys и Lumma, которые похищали учетные данные и криптокошельки.
YouTube Ghost Network использовала тысячи фальшивых и скомпрометированных аккаунтов, действовавших согласованно. Так, одни учетные записи публиковали видео с вредоносными ссылками, другие накручивали лайки и комментарии для создания иллюзии активности, а третьи делились ссылками на такие видео через функцию «Сообщество» на YouTube.
Исследователи пишут, что один взломанный канал со 129 000 подписчиков опубликовал видео, рекламирующее взломанную версию Adobe Photoshop, набравшее почти 300 000 просмотров и более 1000 лайков. Другой таргетировал криптопользователей, перенаправляя их на фишинговые страницы в Google Sites.
Наиболее популярной приманкой YouTube Ghost Network были читы для Roblox, а также популярностью пользовались видео о взломанных версиях Microsoft Office, Lightroom и инструментов Adobe.
Отмечается, что операторы этой кампании регулярно меняли пейлоады и обновляли ссылки, опережая удаление роликов и учетных записей, и создавая устойчивую экосистему, способную быстро восстанавливаться в случае блокировки аккаунтов.
Модульный дизайн сети с загрузчиками, комментаторами и распространителями ссылок позволял YouTube Ghost Network существовать годами. В Check Point отмечают схожесть этой кампании со Stargazers Ghost Network, в прошлом году обнаруженной на GitHub. Этот сервис использует тысячи фальшивых аккаунтов разработчиков, чтобы хостить вредоносные репозитории.
По информации исследователей, стоящие за этими атаками злоумышленники захватывали легитимные аккаунты YouTube и от их лица публиковали туториалы, обещавшие бесплатные пиратские версии Photoshop, FL Studio, а также читы и хаки для Roblox. Вместо обещанного софта жертвы получали стилеры Rhadamanthys и Lumma, которые похищали учетные данные и криптокошельки.
YouTube Ghost Network использовала тысячи фальшивых и скомпрометированных аккаунтов, действовавших согласованно. Так, одни учетные записи публиковали видео с вредоносными ссылками, другие накручивали лайки и комментарии для создания иллюзии активности, а третьи делились ссылками на такие видео через функцию «Сообщество» на YouTube.
Пользователям, которые попадались на удочку мошенников, предлагали отключить антивирус и скачать архив с Dropbox, Google Drive или MediaFire. Внутри вместо ожидаемого софта скрывалась малварь, которая после запуска похищала данные жертвы и передавала их на серверы хакеров.
Исследователи пишут, что один взломанный канал со 129 000 подписчиков опубликовал видео, рекламирующее взломанную версию Adobe Photoshop, набравшее почти 300 000 просмотров и более 1000 лайков. Другой таргетировал криптопользователей, перенаправляя их на фишинговые страницы в Google Sites.
Наиболее популярной приманкой YouTube Ghost Network были читы для Roblox, а также популярностью пользовались видео о взломанных версиях Microsoft Office, Lightroom и инструментов Adobe.
Отмечается, что операторы этой кампании регулярно меняли пейлоады и обновляли ссылки, опережая удаление роликов и учетных записей, и создавая устойчивую экосистему, способную быстро восстанавливаться в случае блокировки аккаунтов.
Модульный дизайн сети с загрузчиками, комментаторами и распространителями ссылок позволял YouTube Ghost Network существовать годами. В Check Point отмечают схожесть этой кампании со Stargazers Ghost Network, в прошлом году обнаруженной на GitHub. Этот сервис использует тысячи фальшивых аккаунтов разработчиков, чтобы хостить вредоносные репозитории.
Аналитикам Check Point не удалось установить, кто управляет этой кампанией. Судя по всему, тысячи вредоносных роликов — дело рук финансово мотивированных злоумышленников, однако отмечается, что такая тактика может заинтересовать и «правительственных» хакеров, используясь для атак на конкретные цели.