Специалисты Google удалили с YouTube более 3000 видео, которые распространяли инфостилеры под видом взломанного софта и читов для игр. Исследователи Check Point дали этой кампании имя YouTube Ghost Network и сообщают, что она была активна с 2021 года, резко активизировавшись в 2025 году, когда число вредоносных видео утроилось.
По информации исследователей, стоящие за этими атаками злоумышленники захватывали легитимные аккаунты YouTube и от их лица публиковали туториалы, обещавшие бесплатные пиратские версии Photoshop, FL Studio, а также читы и хаки для Roblox. Вместо обещанного софта жертвы получали стилеры Rhadamanthys и Lumma, которые похищали учетные данные и криптокошельки.
YouTube Ghost Network использовала тысячи фальшивых и скомпрометированных аккаунтов, действовавших согласованно. Так, одни учетные записи публиковали видео с вредоносными ссылками, другие накручивали лайки и комментарии для создания иллюзии активности, а третьи делились ссылками на такие видео через функцию «Сообщество» на YouTube.
«Эта кампания эксплуатировала сигналы доверия (просмотры, лайки, комментарии), чтобы вредоносный контент казался безопасным, — рассказывают специалисты Check Point. — То, что выглядит как полезный туториал, оказывалось тщательно продуманной киберловушкой».
Пользователям, которые попадались на удочку мошенников, предлагали отключить антивирус и скачать архив с Dropbox, Google Drive или MediaFire. Внутри вместо ожидаемого софта скрывалась малварь, которая после запуска похищала данные жертвы и передавала их на серверы хакеров.
Исследователи пишут, что один взломанный канал со 129 000 подписчиков опубликовал видео, рекламирующее взломанную версию Adobe Photoshop, набравшее почти 300 000 просмотров и более 1000 лайков. Другой таргетировал криптопользователей, перенаправляя их на фишинговые страницы в Google Sites.
Наиболее популярной приманкой YouTube Ghost Network были читы для Roblox, а также популярностью пользовались видео о взломанных версиях Microsoft Office, Lightroom и инструментов Adobe.
Отмечается, что операторы этой кампании регулярно меняли пейлоады и обновляли ссылки, опережая удаление роликов и учетных записей, и создавая устойчивую экосистему, способную быстро восстанавливаться в случае блокировки аккаунтов.
Модульный дизайн сети с загрузчиками, комментаторами и распространителями ссылок позволял YouTube Ghost Network существовать годами. В Check Point отмечают схожесть этой кампании со Stargazers Ghost Network, в прошлом году обнаруженной на GitHub. Этот сервис использует тысячи фальшивых аккаунтов разработчиков, чтобы хостить вредоносные репозитории.
«В современном ландшафте угроз популярное видео может быть столь же опасным, как фишинговое письмо, — говорят эксперты. — Это подчеркивает, что даже доверенные платформы не застрахованы от злоупотреблений».
Аналитикам Check Point не удалось установить, кто управляет этой кампанией. Судя по всему, тысячи вредоносных роликов — дело рук финансово мотивированных злоумышленников, однако отмечается, что такая тактика может заинтересовать и «правительственных» хакеров, используясь для атак на конкретные цели.
