大规模幽灵网络行动曝光 3000 个 YouTube 视频为恶意软件陷阱

据观察，一个恶意的 YouTube 帐户网络发布和推广可导致恶意软件下载的视频，本质上是滥用视频托管平台的知名度和信任来传播恶意负载。

该网络自2021年活跃以来，迄今已发布了3000多个恶意视频，此类视频的数量自今年年初以来增长了两倍。Check Point将其代号为“YouTube幽灵网络”。此后，谷歌已介入删除了其中的大部分视频。

该活动利用被黑客入侵的账户，将其内容替换为以盗版软件和 Roblox 游戏作弊软件为中心的“恶意”视频，从而感染那些搜索这些视频的毫无戒心的用户，使其遭受恶意软件的感染。其中一些视频的观看次数已达数十万次，从 14.7 万次到 29.3 万次不等。

Check Point 安全研究小组经理 Eli Smadja 表示：“此次行动利用了信任信号，包括浏览量、点赞和评论，使恶意内容看起来安全无虞。看似有用的教程，实际上可能是精心设计的网络陷阱。该网络的规模、模块化和复杂性，使其成为威胁行为者如今如何利用攻击工具传播恶意软件的蓝图。”

利用 YouTube 传播恶意软件并非新鲜事。多年来，我们观察到威胁行为者劫持合法频道或使用新创建的账户发布教程式视频，视频描述指向恶意链接，点击后会感染恶意软件。

DFIR 保留服务
这些攻击是广泛趋势的一部分，攻击者将合法平台用于恶意目的，将其变成恶意软件传播的有效途径。虽然一些攻击活动滥用了合法的广告网络，例如与谷歌或必应等搜索引擎相关的广告网络，但其他一些攻击活动则利用 GitHub 作为传播工具，例如Stargazers Ghost Network的案例。

Ghost Networks 之所以能大获成功，主要原因之一是，它们不仅可以用来增强共享链接的合法性，而且由于其基于角色的结构，即使账户被平台所有者禁止或关闭，也能保持运营的连续性。

安全研究员安东尼斯·特雷福斯 (Antonis Terefos) 表示：“这些账户利用各种平台功能，例如视频、描述、帖子（YouTube 上一个鲜为人知的类似于 Facebook 帖子的功能）和评论来推广恶意内容和传播恶意软件，同时制造一种虚假的信任感。”

该网络的大部分由被盗的 YouTube 账户组成，这些账户一旦被添加，就会被分配特定的操作角色。这种基于角色的结构使得传播更加隐秘，因为被封禁的账户可以在不影响整体运营的情况下被快速替换。


具体有三种类型的账户 -

视频帐户，上传钓鱼视频并提供包含下载广告软件链接的描述（或者，链接作为固定评论共享，或作为安装过程的一部分直接在视频中提供）
帖子账户，负责发布社区消息和包含外部网站链接的帖子
互动账户，点赞并发表鼓励性评论，为视频披上信任和可信的外衣
这些链接会将用户引导至各种服务，例如 MediaFire、Dropbox 或 Google Drive，或托管在 Google Sites、Blogger 和 Telegraph 上的钓鱼页面，而这些页面又包含下载所谓软件的链接。在许多情况下，这些链接会使用 URL 缩短器进行隐藏，以掩盖真实目标。

CIS 构建套件
通过 YouTube Ghost Network 分发的一些恶意软件家族包括Lumma Stealer、Rhadamanthys Stealer、StealC Stealer、RedLine Stealer、Phemedrone Stealer以及其他基于 Node.js 的加载器和下载器 -

一个名为@Sound_Writer（9,690 名订阅者）的频道已被入侵一年多，用于上传加密货币软件视频以部署 Rhadamanthys
名为 @Afonesio1 的频道（拥有 129,000 名订阅者）于 2024 年 12 月 3 日和 2025 年 1 月 5 日遭到入侵，该频道上传了一段视频，宣传破解版 Adob​​e Photoshop，并分发部署了Hijack Loader的 MSI 安装程序，该安装程序随后会传播 Rhadamanthys
Check Point 表示：“恶意软件传播方法的不断演变表明，威胁行为者在绕过传统安全防御方面具有非凡的适应性和足智多谋。对手正日益转向更复杂的基于平台的策略，最明显的就是幽灵网络的部署。”

“这些网络利用合法账户固有的信任和流行平台的参与机制来策划大规模、持久且高效的恶意软件活动。”