Google удалил с YouTube более 3000 роликов, связанных с кампанией YouTube Ghost Network, которую детально описали аналитики Check Point. По оценке исследователей, активность злоумышленников наблюдается с 2021 года, а в 2025 году объем вредоносных публикаций резко вырос, фактически утраившись. Центральная цель — распространение инфостилеров Rhadamanthys и Lumma под видом взломанного софта и читов для популярных игр.
Механика атаки: взломанные каналы, фальшивая активность и «сигналы доверия»
По данным Check Point, организаторы кампании захватывали легитимные аккаунты YouTube и массово создавали поддельные профили. Одни учетные записи публиковали «туториалы» с вредоносными ссылками, другие искусственно накручивали просмотры, лайки и комментарии, а третьи распространяли ссылки через функцию «Сообщество». Такой распределенный подход формировал иллюзию надежности — контент выглядел популярным и безопасным.
Приманки и векторы доставки: от читов Roblox до «пиратского» Photoshop
Злоумышленники заманивали аудиторию бесплатными «взломанными» версиями Photoshop, FL Studio, Microsoft Office, Lightroom и читами для Roblox. В ряде роликов жертвам рекомендовалось отключить антивирус и скачать архив с Dropbox, Google Drive или MediaFire. Вместо обещанного софта пользователи получали инфостилеры Rhadamanthys и Lumma, предназначенные для кражи учетных данных, cookies и данных криптокошельков.
Масштаб и примеры компрометации
Исследователи зафиксировали, что взломанный канал с 129 000 подписчиков опубликовал ролик о «пиратском» Adobe Photoshop, набравший почти 300 000 просмотров и более 1000 лайков. Другой вектор был нацелен на криптопользователей и вел на фишинговые страницы, размещенные в Google Sites. Операторы кампании регулярно меняли пейлоады и обновляли ссылки, опережая модерацию и обеспечивая устойчивость инфраструктуры.
Модульная архитектура и сходство с атаками на GitHub
Кампания имела модульный дизайн: отдельные звенья отвечали за загрузку пейлоадов, накрутку активности и распространение ссылок. Это позволило сети действовать годами и быстро восстанавливаться после блокировок. По оценке Check Point, подход напоминает Stargazers Ghost Network на GitHub, где использовались тысячи фальшивых аккаунтов разработчиков для хостинга вредоносных репозиториев.
Атрибуция и мотивация: финансовый интерес и риск таргетинга
Check Point не называет конкретных исполнителей кампании. Наиболее вероятной мотивацией выглядит финансовая — монетизация украденных данных и кошельков. В то же время исследователи допускают, что подобная тактика может быть востребована и у «правительственных» групп для точечных атак, учитывая высокую степень маскировки и использование доверенных платформ.
Почему это работает: доверие к платформам и сложность модерации
Видеохостинги и облачные сервисы воспринимаются пользователями как безопасные, что повышает эффективность социальной инженерии. «Сигналы доверия» — просмотры, лайки, комментарии — дополнительно снижают бдительность. Для модерации такие кампании сложны: злоумышленники оперативно ротируют домены, аккаунты и артефакты, минимизируя окно обнаружения.
Рекомендации по кибербезопасности для пользователей и компаний
Не отключайте защиту: требования выключить антивирус — индикатор атаки. Не скачивайте пиратский софт и читы — это один из самых стабильных каналов доставки инфостилеров. Проверяйте источник: изучайте название канала, историю публикаций и комментарии; подписывайтесь на официальные каналы разработчиков.
Используйте менеджер паролей и включайте двухфакторную аутентификацию. Регулярно проверяйте доступ сторонних приложений в Google-аккаунте и отзывайте подозрительные OAuth-токены. В корпоративной среде имеет смысл применять политики блокировки скачивания исполняемых архивов из публичных облаков, фильтрацию трафика, EDR/antimalware с поведенческими детекторами и обучение сотрудников распознаванию социальной инженерии.
Сюжет YouTube Ghost Network подчеркивает, что даже популярные и доверенные платформы могут быть инструментом распространения вредоносного ПО. Популярное видео действительно может быть столь же опасным, как классическое фишинговое письмо. Практика цифровой гигиены, отказ от пиратского контента и внимательная проверка источников — ключевые шаги, которые снижают риск компрометации учетных данных и финансовых потерь.
