Хакнати YouTube канали разпространяват вируси с измами

Зловредна мрежа от YouTube акаунти е забелязана да публикува и популяризира видеа, които водят до изтегляне на зловреден софтуер (malware), като злоупотребява с популярността и доверието към платформата за видео споделяне. Тази мрежа, наречена от компанията за киберсигурност Check Point „YouTube Ghost Network“ (Ютюб призрачна мрежа), е активна от 2021 година и е публикувала над 3000 вредни видеа, като броят им се е утроил от началото на годината. Google вече е предприел действия и е премахнал повечето от тези видеа.

Как работи тази мрежа?

Хакерите използват компрометирани акаунти (такива, които са откраднати или хакнати) в YouTube, за да публикуват видеа, които изглеждат като уроци или съдържание за пиратски софтуер (напр. програми, които са „кракнати“ или разбити, за да се ползват безплатно) и измами за игри като Roblox. Тези видеа са предназначени да привлекат потребители, които търсят подобно съдържание, и да ги подмамят да изтеглят зловреден софтуер, който краде лична информация, като пароли или банкови данни. Някои от тези видеа имат стотици хиляди гледания – между 147 000 и 293 000.

„Тази операция използва сигнали за доверие, като брой гледания, харесвания и коментари, за да изглежда съдържанието безопасно,“ казва Ели Смаджа, мениджър в Check Point. „Това, което изглежда като полезен урок, всъщност може да е добре замаскирана киберзаплаха.“

Защо YouTube?

Използването на YouTube за разпространение на зловреден софтуер не е ново. От години хакерите превземат легитимни канали или създават нови акаунти, за да публикуват видеа, които изглеждат като уроци, но съдържат връзки към зловредни сайтове. Тези атаки са част от по-широка тенденция, при която киберпрестъпниците използват популярни платформи като YouTube, GitHub или дори рекламни мрежи на търсачки като Google и Bing, за да разпространяват зловреден софтуер.

Какво представлява „призрачната мрежа“?

„Призрачните мрежи“ са успешни, защото използват структура, при която различни акаунти имат специфични роли. Това им позволява да продължат да работят, дори ако някои акаунти бъдат блокирани от YouTube. Ето какви са основните типове акаунти в мрежата:

• Видео акаунти – Те качват фалшиви видеа, които рекламират пиратски софтуер или измами. В описанието на видеото или в коментарите (понякога „закачени“ коментари) има връзки към сайтове, от които се изтегля зловреден софтуер.
• Публикационни акаунти – Те публикуват съобщения в секцията за „общност“ в YouTube (по-малко известна функция, подобна на постове във Facebook), които също водят до опасни връзки.
• Интерактивни акаунти – Те харесват видеата и оставят положителни коментари, за да създадат усещане, че съдържанието е надеждно.

Какво става, когато кликнеш на връзките?

Връзките в тези видеа често водят до услуги като MediaFire, Dropbox или Google Drive, както и до фалшиви страници, създадени чрез Google Sites, Blogger или Telegraph. Тези страници подмамват потребителя да изтегли софтуер, който всъщност е зловреден. Често връзките са скрити чрез URL съкратители (услуги, които правят дългите адреси кратки, напр. bit.ly), за да не се вижда истинската им цел.

Какви зловредни програми се разпространяват?

Някои от зловредните програми, разпространявани чрез тази мрежа, включват:

• Lumma Stealer
• Rhadamanthys Stealer
• StealC Stealer
• RedLine Stealer
• Phemedrone Stealer – Това са програми, които крадат лична информация, като пароли, данни за кредитни карти или други чувствителни данни.
• Node.js-базирани програми – Това са програми, които използват езика за програмиране Node.js, за да изтеглят допълнителен зловреден софтуер или да стартират атаки.

Примери за компрометирани канали

• @Sound_Writer (9 690 абонати): Този канал е хакнат преди повече от година и качва видеа, рекламиращи софтуер за криптовалути, които разпространяват Rhadamanthys.
• @Afonesio1 (129 000 абонати): Хакнат на 3 декември 2024 г. и 5 януари 2025 г., този канал публикува видео за „кракната“ версия на Adobe Photoshop, което води до изтегляне на Hijack Loader – програма, която след това инсталира Rhadamanthys.

Защо е толкова трудно да се спре?

Според Check Point хакерите постоянно подобряват методите си, за да заобикалят защитите на платформите. Те използват популярността и доверието към легитимни платформи като YouTube, за да правят атаките си по-убедителни. „Призрачните мрежи“ са гъвкави и устойчиви – дори ако един акаунт бъде блокиран, друг веднага го заменя.

Какво да направиш, за да се предпазиш?

• Бъди внимателен към видеа, които предлагат пиратски софтуер или измами за игри.
• Не кликвай на връзки в описания или коментари под видеа, особено ако са съкратени.
• Проверявай дали каналът изглежда легитимен – хакнатите канали често променят тематиката си рязко.
• Използвай антивирусен софтуер, за да се предпазиш от зловредни програми.

Обяснение на техническите термини

• Зловреден софтуер (malware): Софтуер, създаден с цел да навреди на компютъра или да открадне информация.
• Компрометиран акаунт: Акаунт, който е бил хакнат или откраднат от киберпрестъпници.
• URL съкратител: Услуга, която превръща дълъг уеб адрес в кратък, за да изглежда по-удобен, но може да скрие опасна дестинация.
• Фишинг (phishing): Техника, при която хакерите подмамват потребители да предоставят лична информация или да изтеглят зловреден софтуер чрез фалшиви страници или съобщения.
• Hijack Loader: Програма, която „зарежда“ други зловредни програми на компютъра, действайки като посредник.
• Node.js: Платформа за програмиране, която може да бъде използвана за създаване на зловредни програми, които изтеглят или стартират други атаки.

Тази мрежа показва как киберпрестъпниците стават все по-изобретателни, използвайки популярни платформи като YouTube, за да заблудят хората. Бъдете внимателни и проверявайте внимателно съдържанието, преди да кликнете или изтеглите нещо!