Ponad 3 tysiące zainfekowanych filmów i setki przejętych kont – tak wyglądała jedna z największych kampanii złośliwego oprogramowania na YouTube, którą ujawnili eksperci Check Point Research. Zidentyfikowana sieć „YouTube Ghost Network” działa od 2021 roku, a w 2025 roku jej aktywność znacząco wzrosła. Według badaczy ofiarami mogły być tysiące użytkowników z różnych krajów.
Jak działała YouTube Ghost Network
Atakujący wykorzystywali popularne kategorie filmów, takie jak „Game Hacks/Cheats” czy „Software Cracks”, aby rozprzestrzeniać złośliwe oprogramowanie typu infostealer. Tego rodzaju programy służyły do kradzieży haseł, loginów i danych finansowych. Wideo często udawały poradniki lub darmowe wersje znanych aplikacji, zachęcając widzów do pobrania plików i wyłączenia zabezpieczeń systemu Windows.
– To nowa era kampanii phishingowych. Zamiast podejrzanych maili, ofiary same wchodzą w pułapkę, ufając pozornie legalnym kontom i komentarzom – mówi Wojciech Głażewski, Managing Director firmy Check Point Software Polska.
Najczęściej wykorzystywanym oprogramowaniem był Lumma Stealer oraz Rhadamanthys. Oprogramowania po przejęciu danych łączyły się z serwerami C2 w Niemczech i Rosji. Niektóre filmy osiągały ponad 290 tys. wyświetleń i miałysetki pozytywnych komentarzy, co potęgowało wrażenie autentyczności.
Kanały i skala zagrożenia
Szczególnie niebezpieczne były konta o dużej liczbie subskrybentów, jak @Afonesio1 (129 tys. subskrybentów), wykorzystywane do dystrybucji złośliwej wersji Photoshopa. Inny kanał, @Sound_Writer, zachęcał użytkowników do pobrania „oprogramowania do kryptowalut”, które wykradało dane z niezabezpieczonych komputerów.
Co więcej, eksperci ostrzegają, że tzw. „Ghost Networks” stają się nowym trendem w cyberprzestępczości. Sieci fałszywych lub przejętych kont działają jak zorganizowany ekosystem. Jedne profile publikują filmy, inne udają zadowolonych użytkowników, a kolejne rozpowszechniają złośliwe linki w komentarzach.
– YouTube Ghost Network pokazuje, jak cienka granica dzieli cyfrową rozrywkę od realnego zagrożenia finansowego – podkreśla Wojciech Głażewski.
Wszystkie zidentyfikowane materiały zostały zgłoszone do Google. Większość z nich usunięto, ale podobne kampanie mogą się odrodzić w każdej chwili.
Przeczytaj także:
- Pracownicy cyberbezpieczeństwa są wypaleni. To realne zagrożenie dla firm
- Koniec wsparcia Windows 10. Firmy muszą wybrać między bezpieczeństwem a kosztami
- Czego najbardziej boją się Polacy w sieci? Phishing na podium
- Liczba cyfrowych oszustw w Polsce wzrosła o 30 proc. w rok
