Операцията е базирана на разследване на Check Point, докладвано от The Register, което описва координирана мрежа, наречена Мрежа от духове на YouTube, активна от 2021 г. и със забележителен подем тази година. Сътрудничеството с Google направи възможно разбиването на една от най-големите кампании, наблюдавани на платформата, с потенциално въздействие върху потребителите в Испания и останалата част от Европа.
Как е функционирала мрежата-призрак
Рамката работеше с хиляди синхронизирани акаунтиНякои качваха видеоклипове, други генерираха положителни коментари и реакции, а трета група публикуваше връзки и пароли в раздела „Общност“, за да подсилят впечатлението за легитимност.
За да спечелят доверие, нападателите разчитаха на преди това компрометирани реални канали, като използват своите абонати, историята си и социалния сигнал на съдържанието с гледания и харесвания. Тази динамика на ангажираност – обикновено използвана за измерване на качеството – е превърнато в оръжие за разпространение на злонамерени файлове за изтегляне.
Координацията беше замислена така, че всичко да изглежда органично: видеоклипове с хиляди гледания, коментари, пълни с емоджита и привидно безопасни връзкиСпоред Check Point, производството на вредни видеоклипове се е утроило до 2025 г., което демонстрира мащабируемостта на модела.
Примамки и верига на инфекция
Куката беше разнообразна, но повтаряше два модела: уроци за кракнат софтуер (Photoshop, FL Studio, Microsoft Office, Lightroom) и мами за видеоигри, с особена привлекателност сред тези, които търсят предимства за Roblox.
Във видеоклиповете жертвите са били попитани деактивирайте антивирусната програма и да изтеглите файл от популярни услуги като Dropbox, Google Drive или MediaFire. Вместо функционални програми, пакетът включва инфокрадци като Rhadamanthys, Lumma или RedLine, предназначени за кражба на пароли, портфейли с криптовалута и системна информация.
В някои случаи потребителите бяха пренасочени към фишинг страници, хоствани в Google Sites, тактика, която използва доверието, генерирано от известен домейн, за да намали подозренията и да увеличи процента на изтегляне.
Обхват, цифри и ангажирани канали
Check Point откри хакерски атакувани канали с голяма аудитория; един от тях, с Абонати на 129.000, разпространи уж безплатна версия на Photoshop, която натрупа почти 300.000 изгледи преди да бъдат премахнати.
Друго фалшиво съдържание, насочено към FL Studio или Adobe пакети достигна шестцифрени цифри за стрийминг, достатъчно, за да изглежда легитимно на пръв поглед. Съчетанието от високи показатели и положителна обратна връзка допринесе за обезоръжаване на недоверието на жертвите.
Въпреки че кампанията беше насочена към глобална аудитория, комбинацията от широко използван софтуер в Европа и популярността на Roblox сред младите хора я прави... потребители в Испания и ЕС също бяха в светлината на прожекторите.
Какво казват изследователите и какво да очакваме
Ели Смаджа, ръководител на изследванията в Check Point, предупреждава, че Популярното видео може да бъде толкова опасно като фишинг имейл, ако се използва като средство за разпространение. Екипът не приписва операцията на конкретен участник, освен че посочва ясния мотив за печалба.
Операторите са редували зловреден софтуер и връзки към регенериране на мрежата дори след блокажите, поради което наблюдението продължава. Мрежата „Призрак“ е разбита, но механиката продължава и може да бъде активиран отново с нови акаунти.
Бързи препоръки за потребители
- Внимавайте с видеоклипове, които изискват деактивирайте антивирусната програма или инсталирайте външни файлове за изтегляне.
- Избягвайте „пукнатини“ и използвайте официални актуализацииПиратският софтуер е обичаен вектор на крадци на информация.
- Проверете източника на връзките (Drive, Dropbox, MediaFire) и не стартирайте съмнителни файлове.
- Обърнете внимание на аномални детайли, дори и да има такива много посещения и положителни коментари.
Премахването на повече от 3.000 видеоклипа и закриването на свързани акаунти показва, че Google и Check Point са действали насилствено, но това показва и как нападателите експлоатират социалното доверие и търсенето на „изгодни сделки“: с фалшиви уроци, популярни връзки и компрометирани реални акаунти, импулсивен разряд достатъчно, за да предаде пароли, криптовалути и данни на нападателя.
