Google видалив із YouTube понад 3000 відео, пов’язаних із кампанією YouTube Ghost Network, яку детально описала команда Check Point. За оцінкою дослідників, активність мережі спостерігається з 2021 року, а у 2025-му обсяги шкідливих публікацій різко зросли — фактично утричі. Головна мета — поширення інфостілерів Rhadamanthys та Lumma під виглядом «крякнутих» програм і читів для ігор.
Зламані канали YouTube та «сигнали довіри»: як працює схема
За даними Check Point, оператори кампанії захоплювали легітимні акаунти та створювали мережі фейкових профілів. Частина акаунтів публікувала «туторіали» зі шкідливими посиланнями, інші накручували перегляди, лайки й коментарі, а також поширювали лінки через функцію «Спільнота». Такий розподіл ролей формував ілюзію надійності: контент виглядав популярним і безпечним, що знижувало пильність користувачів.
Приманки: піратський софт і чити для Roblox
Зловмисники приваблювали аудиторію «безкоштовними» версіями Photoshop, FL Studio, Microsoft Office, Lightroom та читами для Roblox. У відео часто рекомендували тимчасово вимкнути антивірус і завантажити архів із Dropbox, Google Drive або MediaFire. Замість очікуваного софту жертви отримували інфостілери Rhadamanthys та Lumma, які призначені для викрадення облікових даних, cookies і даних криптогаманців.
Масштаб атаки: перегляди, підписники, ротація пейлоадів
Дослідники наводять показовий приклад: зламаний канал із 129 тис. підписників опублікував ролик про «піратський» Adobe Photoshop, який набрав майже 300 тис. переглядів і понад тисячу лайків. Окремий вектор таргетував криптокористувачів і вів на фішингові сторінки, розміщені на Google Sites. Оператори регулярно змінювали пейлоади та оновлювали посилання, випереджаючи модерацію й забезпечуючи стійкість інфраструктури.
Модульна побудова і паралелі з GitHub-кампаніями
Кампанія мала модульну архітектуру: окремі ланки відповідали за доставку пейлоадів, накрутку активності та розповсюдження посилань. Такий підхід підвищує живучість мережі та спрощує відновлення після блокувань. За оцінкою Check Point, методологія нагадує Stargazers Ghost Network на GitHub, де тисячі фальшивих «розробників» хостили шкідливі репозиторії для розповсюдження malware.
Мотивація, атрибуція та фактор довіри до платформ
Конкретні виконавці не названі. Найімовірніша мотивація — фінансова, тобто монетизація вкрадених облікових даних і криптогаманців. Водночас подібні техніки можуть бути привабливими і для державних APT-груп у точкових операціях, з огляду на високий рівень маскування і використання довірених платформ. Ефективність підсилюють «сигнали довіри» — перегляди, лайки та коментарі — і складність модерації в умовах швидкої ротації доменів, акаунтів і артефактів.
Рекомендації з кібербезпеки: користувачам і бізнесу
Для користувачів
Не вимикайте захист: вимога відключити антивірус — виразний індикатор атаки. Не завантажуйте піратський софт і чити — це стабільні канали доставки інфостілерів. Перевіряйте джерело: назву каналу, історію публікацій, коментарі; підписуйтеся на офіційні канали вендорів. Використовуйте менеджер паролів і вмикайте двофакторну автентифікацію. Регулярно перевіряйте доступ сторонніх застосунків у Google-акаунті та відкликайте підозрілі OAuth-токени.
Для компаній
Запроваджуйте політики блокування завантаження виконуваних архівів із публічних хмар, використовуйте фільтрацію вебтрафіку, EDR/antimalware із поведінковими детекторами, та системно навчайте персонал протидії соціальній інженерії. Періодично проводьте перевірки компрометації облікових записів і моніторинг згадок бренду на платформах із високим рівнем довіри.
Історія з YouTube Ghost Network демонструє: навіть популярні платформи можуть стати ланцюгом постачання шкідливого ПЗ. Щоб знизити ризики викрадення облікових даних і фінансових втрат, відмовляйтеся від піратського контенту, ретельно перевіряйте джерела та не ігноруйте базові практики цифрової гігієни. Поширюйте ці рекомендації в командах і родинах — це простий крок, який найчастіше рятує від компрометації.
