Zranitelnost na YouTube: Takto se malware šíří ve velkém měřítku

V posledních letech YouTube se stal hlavním cílem kyberzločincůTito kyberzločinci našli v platformě perfektní platformu, kde mohou oslovit miliony uživatelů pomocí stále sofistikovanějších malwarových kampaní. Co dříve byly ojedinělé případy videí s pochybnými soubory ke stažení, se nyní proměnilo v organizované sítě, které zneužívají legitimní kanály, doporučovací algoritmy a signály důvěryhodnosti, jako jsou lajky a pozitivní komentáře.

Současně Tvůrci obsahu i diváci se ocitli v pasti situace, kdy zdání legitimity již nezaručuje bezpečnostÚnos účtů, vydírání YouTuberů, trojské koně pro krádeže informací, data mineři kryptocurrencies Nástroje pro skrytý a vzdálený přístup jsou jen některé ze součástí rychle se vyvíjejícího zločineckého ekosystému, který využívá YouTube jako jeden ze svých preferovaných vektorů.

YouTube Ghost Network: masivní síť napadených kanálů

Jednou z nejpozoruhodnějších operací, které byly nedávno odhaleny, je ta známá jako YouTube Ghost Network, masivní síť napadených účtů YouTube používaných k šíření malwaru prostřednictvím videí, která vypadají zcela normálně. Tato kampaň, důkladně prozkoumaná společností Check Point Research, je aktivní od roku 2021 a její intenzita se neustále zvyšuje. časdo té míry, že se objem jeho činnosti během roku 2025 ztrojnásobil.

Podle analýzy výzkumníků, Síť následně zveřejnila více než 3 000 škodlivých videí.Většina z nich je prezentována jako tutoriály, průvodci nebo softwarové ukázky nabízející „zdarma“ ke stažení nebo „crackle“ verze. Google Potvrdila, že po obdržení hlášení většinu těchto videí odstranila, ale už jen samotná skutečnost, že taková kampaň trvá tak dlouho, ilustruje, jak dobře se útočníci naučili zneužívat důvěru platformy.

Hlavní trik je založen na Využijte signály YouTube, které ovlivňují reputaci: počet zhlédnutí, lajků, pochvalných komentářů a profesionální vzhled kanáluVýsledkem je, že průměrnému uživateli se tato videa zdají být stejně spolehlivá (nebo dokonce spolehlivější) než jakýkoli legitimní tutoriál, ale ve skutečnosti se jedná o pečlivě navržené pasti, jejichž cílem je propašovat malware do počítače oběti.

Jak shrnul Eli Smadja, vedoucí výzkumné skupiny v Check Pointu, Co mnoho uživatelů vnímá jako jednoduché video s nápovědou, se může proměnit v dokonale zorganizovanou kybernetickou past.To je podstata této nové vlny kampaní: malware již není prezentován hrubým způsobem, ale je vložen do zdánlivě užitečného obsahu.

Jak funguje YouTube Ghost Network a co ji dělá tak nebezpečnou

Takzvaná síť duchů se neomezuje pouze na nahrávání škodlivých videí z několika málo účtů. Funguje jako organizovaná a modulární zločinecká strukturakde každý účet má definovanou roli a kampaň nadále funguje, i když YouTube část infrastruktury demontuje.

Výzkumníci popsali velmi jasné rozdělení úkolů, v němž Účtům jsou přiřazeny specifické funkce, aby operace běžela.:

• Video účty: Toto jsou kanály zodpovědné za nahrávání „hlavních“ videí. Propagují pirátský komerční software (například Adobe Photoshop o Microsoft OfficeJde o údajné cracky, cheaty pro hry jako Roblox nebo nástroje související s kryptoměnami. Odkazy ke stažení, které ve skutečnosti vedou k malwaru, jsou přidány do popisu nebo připnutých komentářů.
• Post-účty: Tyto účty se zaměřují na Zveřejňování zpráv na kartě komunity YouTube, včetně externích odkazů, které odkazují na překážkové stránky, služby hostování souborů nebo weby s řetězenými přesměrováními.
• Interakční účty: Další skupina profilů je věnována téměř výhradně Dejte lajk, odběr a zanechte pozitivní komentáře k videím na síti, s cílem uměle nafouknout jejich důvěryhodnost a zlepšit jejich pozici v doporučeních platformy.

Díky této strategii založené na rolích, Síť je schopna odolat moderačním akcím.Když YouTube odstraní některé kanály nebo smaže určitá videa, rychle je nahradí jiné, čímž se udrží tok nových příspěvků a škodlivých odkazů.

Odkazy sdílené v těchto kampaních neodkazují přímo na podezřelý spustitelný soubor. Obvykle přesměrovávají na služby, které uživatelé vnímají jako důvěryhodné, jako je MediaFire, Dropbox nebo Google Drive.Kromě webů hostovaných na Google Sites, Bloggeru nebo Telegraphu se mnoho obětí před dosažením finálního souboru často setkává se zkracovači URL. Tyto zkracovače zakrývají skutečnou cestu, což ztěžuje automatickou detekci. Proto je užitečné vědět... Jak zjistit typ souboru.

Na technické úrovni Rozmanitost hrozeb distribuovaných prostřednictvím sítě Ghost Network je rozsáhlá.Mezi prominentní jména patří Lumma Stealer, Rhadamanthys Stealer, StealC, RedLine, Phemedrone a různé zavaděče založené na Node.js. Většina z těchto rodin jsou infostealeři specializující se na krádeže přihlašovacích údajů, souborů cookie, dat z kryptoměnových peněženek a dalších citlivých informací uložených v prohlížeči.

Specifické kanály používané k šíření trojských koní a infostealerů

Kromě globálních statistik nám výzkum umožnil identifikovat Konkrétní případy velmi populárních kanálů, které byly napadeny a přeměněny na nástroje pro distribuci malwaruTo posiluje myšlenku, že útočníci raději využívají účty se zavedenou základnou odběratelů, než aby začínali od nuly.

Příkladem je kanál @Sound_Writer, s téměř 9 700 odběrateliÚčet byl napaden déle než rok. Během této doby byla nahrávána videa související s kryptoměnami, která zdánlivě nabízela nástroje nebo software pro investování do digitálních aktiv nebo jejich správu. Ve skutečnosti si uživatel stáhl program Rhadamanthys, schopný ukrást přihlašovací údaje a finanční data.

Dalším obzvláště pozoruhodným případem byl kanál @Afonesio1, s přibližně 129 000 odběrateliKoncem roku 2024 a začátkem roku 2025 se na tomto kanálu objevilo video, které údajně nabízelo pirátskou verzi Adobe Photoshopu. Tento obsah získal přes 291 000 zhlédnutí a více než 1 000 lajků, což ukazuje, jak může zavedený kanál generovat obrovskou popularitu, i když je napaden, aniž by si to jeho sledující uvědomovali.

V tomto posledním případě, Stažený soubor byl falešný instalační program, který nejprve nasadil zavaděč (Hijack Loader) a poté samotný Rhadamanthys.Jakmile se malware dostal do systému, začal extrahovat přihlašovací údaje, data o kryptoměnách a další informace užitečné pro útočníky a odesílat je na vzdálené velitelské a řídicí servery.

Spolu s RedLine a dalšími rodinami, které se zapojily do podobných kampaní, Tito zloději informací se stali klíčovým prvkem moderní kyberkriminality.protože zásobují fóra a trhy na dark webu, kde se prodávají balíčky ukradených přihlašovacích údajů připravené k opětovnému použití při podvodech, únosech účtů a dalších útocích.

Krádež účtu YouTube: phishing, infostealeři a vydírání

Aby mohli útočníci použít legitimní kanály jako megafon pro své kampaně, potřebují nejprve převzít kontrolu nad účty tvůrců obsahuDo hry vstupují různé strategie, ačkoli phishing zůstává jednou z preferovaných metod díky své účinnosti.

Výzkum společnosti ESET podrobně popsal, jak Kyberzločinci rozesílají youtuberům podvodné e-maily, simulující sponzorství nebo nabídky komerční spolupráce.V těchto zprávách údajný inzerent připojuje odkaz (obvykle na Dropbox nebo jinou cloudovou službu), který údajně obsahuje smlouvu, obchodní podmínky nebo materiály reklamní kampaně.

Po otevření tohoto souboru oběť nenajde jednoduchý PDFale s malwarem typu infostealer. Škodlivý kód obsahuje skripty, které jsou schopny smazat soubory cookie prohlížeče a donutit uživatele k opětovnému zadání přihlašovacích údajů.V tu chvíli jsou přihlašovací údaje a v mnoha případech i kódy dvoufaktorového ověřování tajně odeslány na server útočníka.

Jakmile si zajistí pověřovací listiny, Zločinci převzali plnou kontrolu nad účtem Google spojeným s kanálem YouTubeOdtud mohou změnit e-mailové adresy pro obnovení, hesla, zrušit legitimní přístup a v mnoha případech zcela smazat původní obsah tvůrce a nahradit ho videi určenými výhradně k šíření malwaru.

Důsledky pro oběti mohou být zničující: Uzavření kanálu, ztráta monetizace, prudký pokles sledujících a dokonce i poškození reputaceJe to proto, že uživatelé se mohou domnívat, že škodlivé odkazy zveřejnil sám tvůrce. Znovuzískání kontroly nad účtem není vždy okamžité a v některých případech je obnovení veškerého ztraceného obsahu nebo důvěry nemožné.

Vydírání youtuberů a využívání těžařů kryptoměn

Kromě přímých krádeží účtů byly zjištěny i další incidenty ještě zvrácenější kampaně, v nichž kyberzločinci vydírají tvůrce obsahu aby sami šířili malware. V těchto operacích, které analyzoval tým GReAT společnosti Kaspersky, je pákou tlaku nároky na porušení autorských práv.

Schéma funguje takto: Útočníci podali dvě podvodné stížnosti na porušení autorských práv proti kanálu youtubera.Jak mnoho tvůrců ví, nahromadění tří tohoto typu sankcí může vést k trvalému uzavření jejich kanálu. Kyberzločinci zneužívají tohoto strachu, kontaktují oběť a vyhrožují třetí sankcí, pokud nebude spolupracovat.

Dále nabízejí údajnou „dohodu“, která se skládá z tvůrce Propagujte na svém kanálu nástroj nebo odkaz poskytnutý útočníkyCo YouTuber často ignoruje, je to, že tento program je upraven tak, aby nainstaloval SilentCryptoMiner, malware pro těžbu kryptoměn, který spotřebovává zdroje z počítačů uživatelů bez jejich vědomí.

Telemetrická data společnosti Kaspersky naznačují, že v jedné z těchto kampaní Více než 2 000 uživatelů se po stažení zmanipulovaného nástroje nakazilo.Jeden z napadených kanálů s přibližně 60 000 odběrateli zveřejnil několik videí obsahujících škodlivé odkazy, které nasbíraly přes 400 000 zhlédnutí. Soubor hostovaný na podvodném webu zaznamenal více než 40 000 stažení.

Aby se lépe maskovali, Útočníci začali s legitimním softwarem, jehož cílem bylo obejít hloubkovou inspekci paketů (Deep Packet Inspection).DPIa oni to upraviliŠkodlivá verze si zachovala původní funkcionalitu, takže nástroj zdánlivě dělal přesně to, co sliboval, ale zároveň na pozadí nainstaloval těžaře kryptoměn. Výsledkem je výrazné snížení výkonu zařízení a zvýšení spotřeby energie.

Když bezpečnostní řešení detekují a odstraňují škodlivé komponenty, Zmanipulovaný instalační program dokonce doporučuje uživateli deaktivovat antivirový software.Zobrazování zpráv typu: „Soubor nenalezen. Vypněte veškerý antivirový software a soubor znovu stáhněte, pomůže to!“ Tato taktika má za cíl dále oslabit ochranu systému a zvýšit míru infekce.

DCRat a další kampaně zaměřené na hráče a fanoušky anime

V rámci světa hrozeb spojených s YouTube bylo také pozorováno velmi jasné zaměření na hráče a anime komunityTyto skupiny, obzvláště aktivní na platformě, jsou ideálním cílem pro vše, co souvisí s cheaty, mody, herními cracky a bezplatným softwarem.

Vyšetřování společnosti Kaspersky odhalilo kampaň, v níž Útočníci nahrávají videa na falešné nebo ukradené účty a slibují cracky nebo cheaty. hraTyto odkazy se často zaměřují na populární tituly nebo obsah ve stylu anime. Odkazy ke stažení uvedené v popisu nevedou k slibovanému softwaru, ale spíše k trojskému koni DCRat (DarkCrystal RAT).

DCRat je RAT (trojanský kůň pro vzdálený přístup) distribuovaný v rámci modelu Malware-as-a-Service (MaaS)To znamená, že si jej může pronajmout a využívat jeho funkcí jakýkoli kyberzločinec s dostatkem peněz, aniž by musel být odborníkem na kybernetickou bezpečnost. programováníMezi jeho funkce patří kompletní dálkové ovládání zařízení. Windows, zaznamenávání stisků kláves, přístup k webové kameře a možnost instalace více než třiceti dalších doplňků.

Tento trojský kůň, objevený v roce 2018, V této nové kampani se používá od začátku roku 2025.Dosud zjištěné oběti se koncentrují především v Číně, Bělorusku, Kazachstánu a Rusku a výzkumníci si všimli, že adresy velitelských a řídicích serverů obsahují ruský slang spojený s komunitami fanoušků anime.

Pro uživatele, kteří konzumují tento typ obsahu, je kombinace atraktivní estetiky, slibů výhod ve hrách a zdánlivě legitimního kanálu… míra podezření klesá na minimumProto je důležité zachovat si určitou kritickou povahu, i když video dokonale odpovídá našim zájmům a vkusu.

Hromadné kampaně s RedLine, Racoon Stealer a dalšími infostealery

Kromě konkrétních případů potvrdila různá vyšetřování, že Malware kampaně na YouTube se mohou velmi rychle stupňovat K tomu dochází, když se zkombinuje krádež účtů, automatizace a hromadné nahrávání videí. Například analýza publikovaná v roce 2021 popsala, jak útočníci vytvořili 81 nových kanálů s přibližně 100 videi během pouhých 20 minut.

V takovém případě Distribuovány byly dva známé infostealery: RedLine Stealer a Racoon Stealer.Každý z nich se šířil prostřednictvím různých sad videí a odkazů, ale se stejnou logikou: tutoriály o kryptoměnách, těžbě, craccích programů, „bezplatných“ licencích a návodech k používání určitých nástrojů, vždy doprovázených odkazem ke stažení v popisu.

Odkazy by mohly být v závislosti na rodině malwaru Zkrácené URL adresy, které přesměrovávaly na služby hostování souborů (v případě RedLine) nebo přímé odkazy na domény jako „taplink“, kde byl hostován binární soubor Racoon Stealer. Videa se uživateli jevila identicky jako jakýkoli jiný tutoriál stejného stylu, což vysvětlovalo vysoký počet stažení.

Po instalaci Tyto trojské koně jednají tiše a vytrvaleshromažďování přihlašovacích hesel prohlížeče, bankovních údajů, souborů cookie, informací uložených v e-mailových klientech, VPNFTP a další programy; mohou dokonce pořizovat snímky obrazovky a provádět vzdálené příkazy. V konkrétním případě RedLine různé zprávy naznačují, že velká část přihlašovacích údajů kolujících na dark webu byla ukradena právě prostřednictvím tohoto malwaru.

Google ze své strany Při několika příležitostech uznal, že si je těchto kampaní vědom a pracuje na blokování škodlivé aktivity.Technická opatření zahrnují uzavírání kanálů, automatickou detekci podezřelých vzorců a kontrolu externích odkazů. Rychlost, s jakou se vytvářejí nové účty a nahrávají videa, však činí tento boj neustálým.

Zneužívání legitimních platforem a zneužívání sociální důvěry

Jedním společným prvkem všech těchto kampaní je, že Už se nespoléhají pouze na podezřelé webové stránky nebo zjevně podezřelé e-mailové přílohyale na naprosto legitimních platformách: YouTube, Google Drive, Dropbox, MediaFire, Blogger, Google Sites, GitHub nebo podobných službách.

Tato změna je součástí širšího trendu, který Aktéři hrozby profesionalizují používání sociálních médií a důvěryhodných služeb, aby maskovali své operace.Místo aby se snažili oběť nalákat na neznámou, podřadně vypadající doménu, spoléhají se na kanály s tisíci odběrateli, nadsazenými metrikami popularity a doporučovacími systémy, které udělají zbytek práce.

Check Point a další bezpečnostní firmy zdůrazňují, že Manipulace s důvěrou na platformě představuje novou hranici v sociálním inženýrství.Už nestačí jen hodnotit, zda e-mail obsahuje pravopisné chyby nebo zda se webová stránka jeví jako „divná“; nyní musíme zpochybňovat i velmi dobře natočená videa se stovkami pozitivních komentářů, když to, co nabízejí, zní až příliš dobře na to, aby to byla pravda (například cracky, bezplatné licence nebo zkratky k obcházení omezení).

V této souvislosti Mechanismy sociální interakce na YouTube (lajky, komentáře, příspěvky v komunitě, odběry) Stávají se nástroji, které mohou útočníci zneužít ve svůj prospěch. Falešné nebo kompromitované účty vzájemně interagují a vytvářejí zdání normálnosti, což způsobuje, že algoritmy platformy doporučují novým uživatelům ještě více takového obsahu.

Současně použití služeb, jako je Google Drive, MediaFire nebo GitHub, k hostování souborů To přidává další vrstvu důvěry, protože mnoho uživatelů předpokládá, že pokud odkaz odkazuje na známou službu, nemůže být tak nebezpečný. To v kombinaci se zkracovači URL a přesměrováními komplikuje úkol bezpečnostních řešení včas zablokovat infekční řetězec.

Ochranná opatření pro uživatele a tvůrce obsahu

Vzhledem k tomuto scénáři potřebují jak ti, kdo videa konzumují, tak i ti, kdo je vytvářejí Posilte si své bezpečnostní návyky, abyste snížili riziko pádu do těchto typů pastí.Nejde jen o to mít nainstalovaný antivir, ale o kombinaci několika vrstev technické ochrany a selského rozumu.

Pro uživatele, kteří sledují videa na YouTube, několik základních, ale účinných doporučení Zvuk:

• Nestahujte software, cracky, hry ani nástroje z odkazů v popisech nebo komentářích na YouTube.zvláště pokud slibují pirátské verze, bezplatné licence nebo podezřele štědré výhody.
• Ověřte pravost kanáluZkontrolujte historii videí, datum vytvoření kanálu, zda nedošlo k náhlým změnám tématu a zda komentáře působí přirozeně nebo vynuceně.
• Udržujte svůj operační systém a aplikace vždy aktuálníprotože mnoho zranitelností zneužívaných malwarem je v nejnovějších verzích opraveno.
• Používejte spolehlivé bezpečnostní řešení schopný detekovat infostealery, RATy a těžaře kryptoměna nikdy jej nevypínejte jen proto, že vás o to požádá instalační program.
• Dávejte pozor na neobvyklé chování zařízení, jako je přehřívání, pokles výkonu, vysoké využití CPU nebo nadměrná spotřeba baterie, což může naznačovat přítomnost mineru nebo jiného typu malwaru.

Tvůrci obsahu by měli zaujmout ještě přísnější postoj, protože Jejich kanály se staly hlavním cílem útočníků.Mezi klíčové osvědčené postupy patří:

• Buďte extrémně opatrní s e-maily o „sponzorství“ nebo spolupráci které obsahují přílohy nebo externí odkazy pro stažení údajných smluv či materiálů.
• Povolte dvoufázové ověřování (2FA) ve svém účtu Google spojené s kanálem, nejlépe pomocí ověřovacích aplikací nebo fyzických bezpečnostních klíčů.
• Pravidelně kontrolujte aktivitu přihlašování a zařízení připojená k účtu.a zrušit jakýkoli neznámý přístup.
• Používejte dlouhá, jedinečná hesla spravovaná pomocí správce heselvyhnutí se opětovnému použití klíčů napříč různými službami.
• Pokud máte podezření na kompromitaci, řiďte se pokyny podpory společnosti Google.Obnovit účet, změnit heslo, zkontrolovat oprávnění, vrátit zpět nežádoucí změny v kanálu a v případě uzavření podat oficiální odvolání.

Google navíc Nabízí specializovaný kanál podpory pro ty, kteří jsou součástí partnerského programu YouTube.To je obzvláště užitečné, pokud jde o obnovu kanálu s velkou aktivitou nebo souvisejícími příjmy.

Celá tato síť kampaní to dokazuje Kombinace sociálního inženýrství, zneužívání důvěryhodných platforem a modulárního malwaru posunula distribuci hrozeb na YouTube na novou úroveň.Od sítí jako YouTube Ghost Network a Ghost Network, přes vydírání s falešnými nároky na autorská práva, skryté těžaře kryptoměn a zloděje informací jako RedLine, Racoon, Lumma nebo Rhadamanthys, současná situace nutí uživatele a tvůrce k mnohem větší opatrnosti, spoléhání se na aktualizované bezpečnostní nástroje, zodpovědné digitální návyky a zdravou nedůvěru k jakémukoli videu, které slibuje zázračné stahování nebo zkratky, které se zdají být až příliš dobré na to, aby to byla pravda.