Er is waargenomen dat een kwaadaardig netwerk van YouTube-accounts video’s publiceert en promoot die leiden tot het downloaden van malware, waarbij in wezen misbruik wordt gemaakt van de populariteit en het vertrouwen van het videohostingplatform voor het verspreiden van kwaadaardige ladingen.
Het netwerk is actief sinds 2021 en heeft tot nu toe meer dan 3.000 kwaadaardige video’s gepubliceerd, waarbij het volume van dergelijke video’s sinds het begin van het jaar is verdrievoudigd. Het heeft de codenaam de YouTube Ghost-netwerk door Checkpoint. Google heeft sindsdien ingegrepen om het merendeel van deze video’s te verwijderen.
De campagne maakt gebruik van gehackte accounts en vervangt de inhoud ervan door “kwaadaardige” video’s die zijn gecentreerd rond illegale software en Roblox-game cheats om nietsvermoedende gebruikers die ernaar zoeken te infecteren met stealer-malware. Sommige van deze video’s zijn honderdduizenden keer bekeken, variërend van 147.000 tot 293.000.
“Deze operatie maakte gebruik van vertrouwenssignalen, waaronder meningen, vind-ik-leuks en reacties, om kwaadaardige inhoud veilig te laten lijken”, zegt Eli Smadja, manager van de beveiligingsonderzoeksgroep bij Check Point. “Wat op een nuttige tutorial lijkt, kan in werkelijkheid een gepolijste cyberval zijn. De schaal, modulariteit en verfijning van dit netwerk maken het tot een blauwdruk voor hoe bedreigingsactoren nu engagementtools inzetten om malware te verspreiden.”
Het gebruik van YouTube voor de verspreiding van malware is geen nieuw fenomeen. Jarenlang is waargenomen dat bedreigingsactoren legitieme kanalen kapen of nieuw aangemaakte accounts gebruiken om instructievideo’s te publiceren met beschrijvingen die verwijzen naar kwaadaardige links die, wanneer erop wordt geklikt, naar malware leiden.
Deze aanvallen maken deel uit van een bredere trend waarbij aanvallers legitieme platforms hergebruiken voor snode doeleinden, waardoor ze een effectief middel worden voor de verspreiding van malware. Hoewel sommige campagnes misbruik hebben gemaakt van legitieme advertentienetwerken, zoals die geassocieerd met zoekmachines als Google of Bing, hebben andere misbruik gemaakt van GitHub als bezorgmiddel, zoals in het geval van het Stargazers Ghost Network.
Een van de belangrijkste redenen waarom Ghost Networks een grote vlucht heeft genomen, is dat ze niet alleen kunnen worden gebruikt om de waargenomen legitimiteit van de gedeelde links te vergroten, maar ook om de operationele continuïteit te behouden, zelfs wanneer de accounts worden verboden of verwijderd door de platformeigenaren, dankzij hun op rollen gebaseerde structuur.
“Deze accounts maken gebruik van verschillende platformfuncties, zoals video’s, beschrijvingen, berichten (een minder bekende YouTube-functie vergelijkbaar met Facebook-berichten) en opmerkingen om kwaadaardige inhoud te promoten en malware te verspreiden, terwijl ze een vals gevoel van vertrouwen creëren”, aldus beveiligingsonderzoeker Antonis Terefos.
“Het grootste deel van het netwerk bestaat uit gecompromitteerde YouTube-accounts, die, zodra ze zijn toegevoegd, specifieke operationele rollen krijgen toegewezen. Deze op rollen gebaseerde structuur maakt een sluipende distributie mogelijk, omdat verboden accounts snel kunnen worden vervangen zonder de algehele werking te verstoren.”
Er zijn drie specifieke soorten accounts:
- Video-accounts, die phishing-video’s uploaden en beschrijvingen bieden met links om de geadverteerde software te downloaden (als alternatief worden de links gedeeld als vastgezette opmerking of rechtstreeks in de video weergegeven als onderdeel van het installatieproces)
- Post-accounts, die verantwoordelijk zijn voor het publiceren van communityberichten en berichten met links naar externe sites
- Interact-accounts, die bemoedigende reacties liken en plaatsen om de video’s een laagje vertrouwen en geloofwaardigheid te geven
De links leiden gebruikers naar een breed scala aan diensten zoals MediaFire, Dropbox of Google Drive, of phishing-pagina’s die worden gehost op Google Sites, Blogger en Telegraph en die op hun beurt links bevatten om de vermeende software te downloaden. In veel van deze gevallen worden de links verborgen met behulp van URL-verkorters om de werkelijke bestemming te maskeren.
Enkele van de malwarefamilies die via het YouTube Ghost Network worden verspreid, zijn Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer en andere op Node.js gebaseerde laders en downloaders –
- Een kanaal genaamd @Sound_Writer (9.690 abonnees), dat al meer dan een jaar wordt gecompromitteerd om cryptocurrency-softwarevideo’s te uploaden om Rhadamanthys te implementeren
- Een kanaal genaamd @Afonesio1 (129.000 abonnees), dat op 3 december 2024 en 5 januari 2025 werd gecompromitteerd om een video te uploaden waarin reclame werd gemaakt voor een gekraakte versie van Adobe Photoshop om een MSI-installatieprogramma te distribueren dat Hijack Loader inzet, dat vervolgens Rhadamanthys levert
“De voortdurende evolutie van de distributiemethoden voor malware demonstreert het opmerkelijke aanpassingsvermogen en de vindingrijkheid van bedreigingsactoren bij het omzeilen van conventionele beveiligingsmaatregelen”, aldus Check Point. “Tegenstanders verschuiven steeds meer naar meer geavanceerde, platformgebaseerde strategieën, met name de inzet van Ghost Networks.”
“Deze netwerken maken gebruik van het vertrouwen dat inherent is aan legitieme accounts en de betrokkenheidsmechanismen van populaire platforms om grootschalige, aanhoudende en zeer effectieve malwarecampagnes te orkestreren.”
