YouTube漏洞：惡意軟體就是這樣大規模傳播的

近年來， YouTube已成為網路犯罪分子的主要目標。這些網路犯罪分子發現，該平台是他們透過日益複雜的惡意軟體攻擊觸達數百萬用戶的完美平台。曾經零星出現的可疑影片下載案例，如今已演變成有組織的犯罪網絡，他們濫用合法管道、推薦演算法以及點讚和好評等信任訊號。

同時 內容創作者和觀眾都發現自己陷入了一種困境：表面上的合法性不再能保證安全。帳戶劫持、勒索 YouTuber、資訊竊取木馬、資料探勘 criptomonedas 隱藏和遠端存取工具只是快速發展的犯罪生態系統的一部分，而 YouTube 是其首選的傳播媒介之一。

YouTube 幽靈網路：一個龐大的被入侵頻道網路。

最近曝光的最引人注目的行動之一是被稱為 YouTube Ghost Network 是一個龐大的被盜 YouTube 帳戶網絡，用於傳播惡意軟體。 透過看似完全正常的影片進行攻擊。這項活動由Check Point Research進行了深入調查，自2021年以來一直活躍至今，並且強度不斷增加。 El Temppo到 2025 年，其活動量將增加三倍。

根據研究人員的分析， 該網路隨後發布了超過3.000個惡意影片。它們大多以教學、指南或軟體示範的形式出現，提供「免費」下載或「破解版」。 Google 平台已確認在收到舉報後刪除了大部分此類視頻，但此類攻擊活動持續如此之久，足以說明攻擊者已經多麼擅長利用平台的信任。

主要技巧在於 充分利用 YouTube 本身的聲譽指標：觀看次數、按讚數、好評以及頻道的專業形象。結果是，對於普通用戶來說，這些影片看起來和任何合法的教程一樣可靠（甚至更可靠），而實際上它們是精心設計的陷阱，目的是將惡意軟體偷偷植入受害者的電腦。

正如Check Point研究小組負責人Eli Smadja所總結的： 許多用戶眼中的簡單幫助視頻，可能演變成精心策劃的網絡陷阱。這就是新一波網路攻擊的本質：惡意軟體不再以粗糙的方式呈現，而是嵌入看似有用的內容中。

YouTube的幽靈網路是如何運作的，以及為何它如此危險。

所謂的「幽靈網路」並不局限於從少數幾個帳戶上傳惡意影片。 它以有組織、模組化的犯罪結構運作。每個帳戶都有明確的角色，即使 YouTube 拆除了部分基礎設施，活動也能繼續進行。

研究人員描述了一個非常清晰的任務劃分，其中 為了維持運營，各個帳戶都被賦予了特定的功能。:

• 視訊帳號： 這些頻道負責上傳「主要」影片。他們推廣盜版商業軟體（例如， Adobe公司的Photoshop o 微軟的Office這些所謂的破解程式、Roblox 等遊戲的作弊器或加密貨幣相關工具，實際上都是惡意軟體。下載連結被添加到描述或置頂評論中。
• 後記帳： 這些帳戶主要關注 在 YouTube 社群標籤頁發布訊息包括指向陷阱頁面、文件託管服務或具有鍊式重定向的網站的外部連結。
• 互動帳戶： 另一組個人資料幾乎完全致力於 請按讚、訂閱並在網路上的影片下方留下好評。其目的是人為地提高其信譽度，並提升其在平台推薦中的排名。

得益於這種基於角色的策略， 該網路能夠承受審核措施。當 YouTube 刪除一些頻道或下架某些影片時，其他頻道會迅速取而代之，從而維持新貼文和惡意連結的傳播。

這些活動中分享的連結並沒有直接指向可疑的可執行檔。 它們通常會將使用者重新導向到使用者認為值得信賴的服務，例如 MediaFire、Dropbox 或 Google Drive。除了託管在 Google Sites、Blogger 或 Telegraph 上的網站外，許多受害者在訪問最終文件之前經常會遇到 URL 縮短服務。這些縮短服務會掩蓋真實的路徑，使自動偵測更加困難。因此，了解以下資訊很有幫助… 如何檢測文件類型.

在技​​術層面上， 透過幽靈網路傳播的威脅種類繁多。其中較知名的惡意軟體包括 Lumma Stealer、Rhadamanthys Stealer、StealC、RedLine、Phemedrone 以及各種基於 Node.js 的載入器。這些惡意軟體家族大多是資訊竊取工具，專門竊取登入憑證、cookie、加密貨幣錢包資料以及儲存在瀏覽器中的其他敏感資訊。

用於傳播木馬和資訊竊取程式的特定管道

除了全球統計數據之外，研究還使我們能夠識別出 具體案例：一些非常受歡迎的頻道被劫持並轉化為惡意軟體分發工具這進一步印證了攻擊者更傾向於利用已有用戶群的帳戶，而不是從零開始。

例如頻道 @Sound_Writer，擁有近9.700名訂閱者該帳戶被盜用超過一年。在此期間，帳戶上傳了與加密貨幣相關的視頻，表面上提供投資或管理數位資產的工具或軟體。但實際上，用戶下載的是Rhadamanthys竊取程序，該程序能夠竊取憑證和財務資料。

另一個特別引人注目的例子是運河。 @Afonesio1，約有 129.000 名訂閱者2024年底至2025年初，該頻道出現了一段視頻，據稱提供盜版Adobe Photoshop。該影片獲得了超過291.000萬次觀看和1.000多個贊，這表明即使頻道已被盜版，其粉絲也未察覺，但一個成熟的頻道仍然可以獲得巨大的關注度。

對於最後一個案例， 下載的檔案是一個偽造的安裝程序，它首先部署了一個載入器（Hijack Loader），然後才部署 Rhadamanthys 本身。一旦進入系統，惡意軟體就開始提取憑證、加密貨幣資料和其他對攻擊者有用的信息，並將其發送到遠端命令和控制伺服器。

與 RedLine 以及其他參與過類似活動的家庭一樣， 這些資訊竊取者已成為現代網路犯罪的關鍵要素。因為它們為論壇和暗網市場提供信息，在那裡，成捆的被盜憑證被出售，隨時可以用於欺詐、帳戶劫持和其他攻擊。

YouTube帳號竊盜：網路釣魚、資訊竊取和勒索

為了利用合法管道作為其攻擊活動的擴音器，攻擊者首先需要 控制內容創作者的帳戶雖然各種策略都會發揮作用，但由於網路釣魚的有效性，它仍然是首選方法之一。

ESET 的研究詳細闡述如何 網路犯罪分子向 YouTube 用戶發送詐騙電子郵件，模擬贊助或商業合作提案。在這些資訊中，所謂的廣告商會附上一個連結（通常是 Dropbox 或其他雲端服務），該連結據稱包含合約、條款和條件或廣告宣傳材料。

受害者打開該文件後，並沒有發現任何簡單的 PDF但帶有資訊竊取型惡意軟體。 惡意程式碼包含能夠刪除瀏覽器 cookie 並強制使用者重新輸入憑證的腳本。此時，登入憑證以及在許多情況下，雙重認證碼會被秘密傳送到攻擊者的伺服器。

一旦他們取得了憑證， 犯罪分子完全控制了與該 YouTube 頻道關聯的 Google 帳戶他們可以由此更改恢復電子郵件、密碼，撤銷合法存取權限，並且在許多情況下，完全刪除創建者的原始內容，並將其替換為專門用於傳播惡意軟體的影片。

對受害者而言，後果可能是毀滅性的： 頻道關閉、失去獲利來源、粉絲數驟減，甚至聲譽受損這是因為用戶可能誤以為惡意連結是創建者自己發布的。重新取得帳戶控制權並非總是立竿見影，在某些情況下，恢復所有遺失的內容或信任關係也是不可能的。

勒索 YouTuber 和利用加密貨幣挖礦

除了直接帳戶盜竊外，還發現了其他類型的盜竊事件。 甚至還有更扭曲的犯罪活動，網路犯罪者敲詐內容創作者。 因此，他們自己就會傳播惡意軟體。卡巴斯基GReAT團隊分析發現，在這些行動中，施壓的手段是版權主張。

方案的運作方式如下： 攻擊者向一位 YouTuber 的頻道發送了兩份虛假的版權聲明許多創作者都知道，累計三次此類違規記錄會導致頻道永久關閉。網路犯罪分子正是利用這種恐懼心理，聯繫受害者並威脅說，如果不配合，就會發起第三次違規記錄。

接下來，他們提供了所謂的“協議”，該協議由創建者制定。 在你的頻道上推廣攻擊者提供的工具或鏈接這位 YouTuber 經常忽略的是，該程式經過修改，會安裝 SilentCryptoMiner，這是一種加密貨幣挖礦惡意軟體，會在用戶不知情的情況下消耗用戶電腦的資源。

卡巴斯基遙測數據顯示，在其中一次攻擊活動中， 下載了被竄改的工具後，超過 2.000 名用戶最終感染了病毒。其中一個被入侵的頻道擁有約60.000萬名訂閱者，發布了多個包含惡意連結的視頻，這些視頻的觀看次數超過400.000萬次。託管在詐騙網站上的文件下載量超過40.000萬次。

為了更好地偽裝自己， 攻擊者首先使用了旨在規避深度套件檢測的合法軟體（DPI他們對其進行了修改。惡意版本保留了原有功能，因此該工具表面上看起來確實能實現其承諾的功能，但同時，它會在後台安裝加密貨幣挖礦程式。其結果是設備效能顯著下降，功耗顯著增加。

當安全解決方案偵測到並移除惡意元件時， 這個被篡改的安裝程式甚至會建議使用者停用其防毒軟體。顯示諸如「文件找不到。請停用所有防毒軟體並重新下載文件，這樣就能解決問題！」之類的訊息。這種策略旨在進一步削弱系統保護，增加感染率。

DCrat 和其他針對遊戲玩家和動漫迷的活動

在與 YouTube 相關的威脅中，也觀察到了這一點。 非常明確地聚焦在遊戲玩家和動漫社群這些群體，尤其是活躍在平台上的群體，是所有與作弊、修改、遊戲破解和免費軟體相關的事物的理想目標。

卡巴斯基的調查揭露了一項活動，其中 攻擊者將影片上傳到虛假或被盜帳戶，承諾提供破解程式或作弊方法。 遊戲這些連結通常指向熱門遊戲或動漫風格的內容。描述中提供的下載連結並非指向承諾的軟體，而是指向 DCRat（DarkCrystal RAT）木馬程式。

DCRat 是一個 遠端存取木馬 (RAT) 以惡意軟體即服務 (MaaS) 模式分發這意味著任何有足夠資金的網路犯罪分子都可以租用它的使用權並利用其功能，而無需成為網路安全專家。 程序設計它具備對設備進行完全遠端控制的功能。 Windows鍵盤記錄、網路攝影機存取以及安裝超過 30 個附加插件的功能。

這個特洛伊木馬於2018年被發現。 自2025年初以來，它一直被用於這項新的宣傳活動。目前發現的受害者主要集中在中國、白俄羅斯、哈薩克和俄羅斯，研究人員注意到，命令和控制伺服器的地址包含與動漫迷社群相關的俄語俚語。

對於消費此類內容的用戶而言，吸引人的畫面、遊戲優勢的承諾以及看似合法的管道相結合，使其極具吸引力。 懷疑程度降至最低因此，即使影片完全符合我們的興趣和品味，保持一定的批判精神也很重要。

利用 RedLine、Racoon Stealer 和其他資訊竊取工具進行大規模宣傳活動

除了具體案例外，多項調查也證實了這一點。 YouTube上的惡意軟體攻擊活動可能會快速升級。 這種情況通常發生在帳戶盜竊、自動化操作和大量影片上傳相結合之時。例如，2021 年發布的一份分析報告描述了攻擊者如何在短短 20 分鐘內創建了 81 個新頻道，並上傳了約 100 個影片。

這樣的話 當時正在傳播兩種著名的竊取資訊程式：RedLine Stealer 和 Racoon Stealer。每個影片都以不同的影片和連結形式呈現，但邏輯相同：加密貨幣教學、挖礦、程式破解、「免費」許可證和某些工具的使用指南，描述中總是附有下載連結。

根據惡意軟體家族的不同，這些連結可能是： 重定向到文件託管服務的短鏈接 （以 RedLine 為例）或直接連結到諸如「taplink」之類的域名，浣熊竊取者二進位檔案就託管在這些域名上。對用戶而言，這些影片看起來與其他同類型的教學並無二致，這也解釋了其極高的下載量。

一旦安裝， 這些木馬程序悄無聲息地持續進行。收集瀏覽器登入密碼、銀行資訊、cookies、電子郵件用戶端中儲存的資訊 VPN它們可以入侵 FTP 和其他程式；甚至可以截圖和執行遠端命令。以 RedLine 為例，多份報告指出，暗網上流傳的大量憑證正是透過這種惡意軟體竊取的。

就谷歌而言， 他曾多次承認自己了解這些活動，並正在努力阻止惡意活動。技術措施包括關閉頻道、自動偵測可疑模式以及審查外部連結。然而，新帳號創建和影片上傳的速度之快，使得這場鬥爭永無止境。

濫用合法平台和利用社會信任

所有這些運動的一個共同點是： 他們不再只依賴來路不明的網站或明顯可疑的電子郵件附件。但卻是在完全合法的平台上：YouTube、Google Drive、Dropbox、MediaFire、Blogger、Google Sites、GitHub 或類似服務。

這一變化是更廣泛趨勢的一部分，在該趨勢中， 威脅行為者正日益專業化地利用社群媒體和可信任服務來掩蓋其行動。他們不會試圖引誘受害者訪問未知、看起來很劣質的網站，而是依靠擁有成千上萬訂閱者、誇大的人氣指標和推薦系統的頻道來完成剩下的工作。

Check Point和其他保全公司強調， 操縱平台上的信任標誌著社會工程學的新前沿。僅僅評估電子郵件是否有拼寫錯誤或網站是否“奇怪”已經不夠了；現在，我們還必須質疑那些製作精良、擁有數百條好評的視頻，因為它們提供的內容聽起來好得令人難以置信（例如破解程序、免費許可證或繞過限制的捷徑）。

在這種情況下， YouTube的社群互動機制（按讚、留言、社群貼文、訂閱） 它們會成為攻擊者可以利用的工具。虛假或被盜用的帳戶相互互動，營造出正常的假象，從而導致平台的演算法向新用戶推薦更多此類內容。

同時 使用 Google Drive、MediaFire 或 GitHub 之類的服務來託管文件 這又增加了一層信任，因為許多用戶認為，如果連結指向的是知名服務，那麼它應該不會太危險。這一點，再加上網址縮短和重定向，使得安全解決方案難以及時阻止感染鏈的傳播。

使用者和內容創作者的保護措施

在這種情況下，無論是視訊消費者還是視訊創作者都需要 加強安全習慣，以降低落入此類陷阱的風險。這不僅是安裝防毒軟體的問題，而是將多層技術保護和常識結合。

對於在 YouTube 上觀看影片的用戶而言， 一些基本但有效的建議 聲音：

• 請勿從 YouTube 影片說明或評論中的連結下載軟體、破解程式、遊戲或工具。尤其是當他們承諾提供盜版版本、免費許可證或異常慷慨的獎勵時。
• 驗證頻道的真實性查看影片歷史記錄、頻道建立日期、主題是否有突然變化，以及評論看起來是否自然或勉強。
• 請確保您的作業系統和應用程式始終保持最新狀態。因為最新版本修復了許多惡意軟體利用的漏洞。
• 使用可靠的安全解決方案 能夠偵測資訊竊取程序、遠端存取木馬和加密貨幣挖礦程序即使安裝程式要求您停用它，也千萬不要停用它。
• 警覺設備異常行為例如過熱、效能下降、CPU 使用率高或電池消耗過大，這些都可能表示存在挖礦程式或其他類型的惡意軟體。

內容創作者方面，應該採取更嚴格的立場，因為 他們的頻道已成為攻擊者的主要目標。一些關鍵的良好做法包括：

• 對於有關「贊助」或合作的電子郵件，務必格外謹慎。 包含附件或外部鏈接，用於下載所謂的合約或材料。
• 在您的 Google 帳戶上啟用兩步驟驗證 (2FA) 與通道關聯，最好使用身份驗證應用程式或實體安全性金鑰。
• 定期檢查登入活動和與帳戶連接的設備。並撤銷任何未知存取權限。
• 使用長而獨特的密碼，並透過密碼管理器進行管理。避免在不同服務中重複使用密鑰。
• 如果您懷疑系統遭到入侵，請遵循Google的支援指南。恢復帳戶、更改密碼、檢查權限、撤銷頻道的不必要更改，如果頻道已關閉，則提出正式申訴。

此外，Google 它為 YouTube 合作夥伴計劃的成員提供專門的支援管道。對於恢復活躍度高或收入高的頻道來說，這尤其有用。

這一系列活動顯示： 社會工程、濫用可信任平台和模組化惡意軟體的結合，將 YouTube 上的威脅傳播提升到了一個新的水平。從 YouTube Ghost Network 和 Ghost Network 等網絡，到利用虛假版權聲明進行敲詐勒索的陰謀，以及 RedLine、Racoon、Lumma 或 Rhadamanthys 等秘密加密貨幣挖礦者和信息竊取者，當前形勢迫使用戶和創作者更加謹慎行事，依靠更新的安全工具、負責的數位習慣，並對任何令人難以下載或令人難以置信的影片看起來令人難以置信和令人懷疑。