A Google nemrégiben több ezer olyan YouTube videót távolított el, amelyek alattomos módon jelszólopó malware-t terjesztettek, álcázva azt hamisított szoftvereknek és játék csalásoknak. A Check Point biztonsági kutatóinak felfedezése szerint a „YouTube Ghost Network” néven ismert hálózat valódi YouTube-fiókokat tört fel és használta fel arra, hogy oktatóvideókat tegyen közzé, melyek ingyenes Photoshop, FL Studio vagy Roblox hackeket ígértek. A valóságban azonban ezek a videók olyan kártevőket terjesztettek, mint a Rhadamanthys és Lumma infostealerek, amelyek adatlopásra specializálódtak.
A YouTube Ghost Network működése és hatása
A kampány 2021 óta futott, de 2025-ben jelentős növekedést mutatott: a rosszindulatú videók száma háromszorosára emelkedett az előző évekhez képest. Több mint 3 000 ilyen fertőzött videót távolítottak el a platformról, miután a Check Point együttműködött a Google-lal, hogy felszámolják ezt az egyik legnagyobb ismert malware-terjesztő műveletet a YouTube-on.
Hogyan működött a hálózat?
A Ghost Network több ezer hamis és feltört fiókot használt összehangoltan, hogy a rosszindulatú tartalmakat hitelesnek tüntesse fel. Egyes fiókok feltöltötték az oktatóvideókat, mások elárasztották a komment szekciókat pozitív visszajelzésekkel, lájkokkal és emojikkal, így bizalmat keltve a nézőkben. Egy harmadik csoport pedig közösségi posztokon keresztül osztotta meg a letöltési linkeket és jelszavakat az állítólagos törött szoftverekhez.
„Ez az operáció kihasználta a bizalmi jeleket – például megtekintések, lájkok és kommentek –, hogy a rosszindulatú tartalom biztonságosnak tűnjön,” mondta Eli Smadja, a Check Point biztonsági kutatócsoportjának vezetője. „Ami segítő oktatóvideónak látszik, valójában egy kifinomult kibertámadás csapdája lehet.”
A fertőzés menete és következményei
Miután egy felhasználó rákattintott az ilyen videókban található linkekre, általában arra utasították, hogy kapcsolja ki vírusirtóját. Ezután egy Dropboxon, Google Drive-on vagy MediaFire-en tárolt archívumot kellett letöltenie. Az archívumban azonban nem az ígért program volt megtalálható, hanem malware. Amint megnyitották azt, az infostealer típusú kártevők – például Rhadamanthys vagy Lumma – ellopták a felhasználók bejelentkezési adatait, kriptotárca-információit és rendszeradatait, majd elküldték azokat távoli parancsvezérlő szerverekre.
Kiemelkedő példák és célpontok
- Egy feltört csatorna, amelynek 129 000 feliratkozója volt, egy törött Adobe Photoshop verziót töltött fel, amelyet közel 300 000 alkalommal néztek meg és több mint 1 000 lájkot kapott.
- Egy másik kampány kriptovaluta-felhasználókat célozott meg phishing oldalakra irányítva őket, melyeket Google Sites-on hosztoltak.
- A legnépszerűbb fertőző videók között szerepeltek továbbá Microsoft Office, Lightroom és más Adobe eszközök törött verziói is.
- Különösen nagy vonzerőt jelentettek a játék csalások – főként Robloxhoz –, amelynek havi aktív játékosszáma becslések szerint eléri a 380 milliót.
A hálózat ellenálló képessége és működési mechanizmusa
A Check Point megfigyelései szerint az üzemeltetők rendszeresen cserélték a kártevőket és frissítették a letöltési linkeket annak érdekében, hogy megelőzzék az eltávolításokat. Ez egy rendkívül rugalmas ökoszisztémát hozott létre, amely képes volt gyorsan regenerálódni még akkor is, ha egyes fiókokat letiltottak.
A hálózat moduláris felépítése – ahol külön csoportok töltöttek fel tartalmat, kommenteltek vagy osztották meg linkeket – lehetővé tette az évekig tartó fennmaradást. Ez az eljárás hasonlít egy másik ismert műveletre is, amit „Stargazers Ghost Network”-ként emlegetnek GitHubon: ott hamis fejlesztői fiókok hosztolnak rosszindulatú kódokat tartalmazó repozitóriumokat.
Új trendek a malware terjesztésében
Az elmúlt években jelentős változás történt abban, hogyan terjednek a kártékony programok: míg korábban főként adathalász e-mailek vagy automatikus letöltések domináltak (drive-by download), mostanra a támadók kihasználják a közösségi platformok hitelességét és népszerűségét. Így könnyebben átvészelik a felhasználók gyanakvását.
„A mai fenyegetettségi környezetben egy népszerűnek tűnő videó ugyanolyan veszélyes lehet, mint egy adathalász e-mail,” hangsúlyozta Eli Smadja. „Ez az eltávolítás bizonyítja, hogy még a megbízható platformok sem immunisak az ilyen fegyveresítésre. Ugyanakkor azt is mutatja, hogy megfelelő intelligenciával és együttműködéssel vissza tudunk szorítani ezeket a fenyegetéseket.”
Kik állhatnak a hálózat mögött?
Bár konkrét bizonyíték nincs arra vonatkozóan, kik üzemeltetik ezt a hálózatot, jelenleg úgy tűnik, hogy elsősorban anyagi haszonszerzés motiválja őket. Azonban fennáll annak a veszélye is, hogy állami támogatású csoportok is alkalmazhatják ugyanezeket a módszereket magas értékű célpontok elcsábítására.
Összegzés: A digitális kártevők új arca
A YouTube Ghost Network felemelkedése jól mutatja, milyen messzire fejlődtek az online malware terjesztők spam jellegű levelekből indulva. Bár most sikerült felszámolni ezt az operációt, azzal hogy az interakciók – például megtekintések vagy kommentek – immár támadási vektorokká váltak, bármikor újabb „kísértetek” bukkanhatnak fel egyetlen kattintásnyira.
Forrás: https://www.theregister.com/2025/10/23/youtube_ghost_network_malware/