Se ha observado que redes maliciosas de cuentas de YouTube publican y promocionan videos que conducen a descargas de malware, esencialmente explotando la popularidad y la confianza asociadas con las plataformas de alojamiento de videos para propagar cargas maliciosas.
La red, que ha estado activa desde 2021, ha publicado más de 3.000 vídeos maliciosos hasta la fecha, y la cantidad de dichos vídeos se ha triplicado desde principios de año. Su nombre en código es YouTube Ghost Network de Check Point. Luego, Google intervino para eliminar la mayoría de estos videos.
La campaña toma cuentas pirateadas y reemplaza su contenido con videos «maliciosos» centrados en software pirateado y trampas de juegos Roblox, infectando a los usuarios desprevenidos que las buscan con malware ladrón. Algunos de estos vídeos han acumulado cientos de miles de visitas, entre 147.000 y 293.000.
«Esta operación utilizó señales de confianza como vistas, me gusta y comentarios para hacer que el contenido malicioso pareciera seguro», dijo Eli Smadja, gerente del grupo de investigación de seguridad de Check Point. «Lo que parece un tutorial útil podría ser en realidad una trampa cibernética sofisticada. La escala, la modularidad y la sofisticación de esta red crean un modelo de cómo los actores de amenazas utilizan sus herramientas de participación como armas para propagar malware».
El uso de YouTube para distribuir malware no es un fenómeno nuevo. A lo largo de los años, se ha observado que los actores de amenazas secuestran canales legítimos o utilizan cuentas recién creadas para publicar videos estilo tutorial con instrucciones que apuntan a enlaces maliciosos que, al hacer clic, conducen a malware.
Estos ataques son parte de una tendencia más amplia en la que los atacantes reutilizan plataformas legítimas con fines maliciosos, convirtiéndolas en vehículos eficaces para la distribución de malware. Algunas campañas han explotado redes publicitarias legítimas, como las asociadas a motores de búsqueda como Google y Bing, mientras que otras, como el caso de Stargazers Ghost Network, han utilizado GitHub como vehículo de entrega.
Una de las principales razones por las que Ghost Networks se ha vuelto tan popular es que puede usarse no solo para amplificar la legitimidad de los enlaces compartidos, sino también para mantener la continuidad de las operaciones incluso si el propietario de la plataforma prohíbe o elimina una cuenta debido a su estructura basada en roles.
«Estas cuentas aprovechan varias características de la plataforma, como videos, descripciones, publicaciones (una característica menos conocida de YouTube similar a las publicaciones de Facebook) y comentarios para promover contenido malicioso y distribuir malware mientras crean una falsa sensación de confianza», dijo el investigador de seguridad Antonis Telefos.
«Una gran parte de la red está formada por cuentas de YouTube comprometidas, a las que, una vez agregadas, se les asignan roles operativos específicos. Esta estructura basada en roles permite una distribución más sigilosa al permitir que las cuentas prohibidas sean reemplazadas rápidamente sin interrumpir las operaciones generales».
Hay ciertos tipos de cuentas:
Cuenta de video que carga el video de phishing y proporciona una descripción con un enlace para descargar el software anunciado (o el enlace se comparte como un comentario fijado o se proporciona directamente dentro del video como parte del proceso de instalación) Cuenta de publicación: es responsable de publicar publicaciones que incluyen mensajes de la comunidad y enlaces a sitios externos. Cuenta de Interact: publicaciones que fomentan comentarios y me gusta con el objetivo de darle al video una apariencia de confiabilidad y autenticidad.
El enlace dirige a los usuarios a páginas de phishing alojadas en una amplia gama de servicios, incluidos MediaFire, Dropbox y Google Drive, así como Google Sites, Blogger y Telegraph, que contienen enlaces para descargar el supuesto software. En muchos de estos casos, se utilizan acortadores de URL para ocultar el enlace y ocultar su destino real.
Las familias de malware distribuidas a través de YouTube Ghost Network incluyen Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer y otros cargadores y descargadores basados en Node.js.
Un canal llamado @Sound_Writer (9.690 suscriptores) ha estado comprometido durante más de un año por cargar videos de software de criptomonedas para implementar Rhadamanthys. Un canal llamado @Afonesio1 (129.000 suscriptores) se vio comprometido el 3 de diciembre de 2024 y el 5 de enero de 2025, subiendo videos promocionando una versión crackeada de Adobe Photoshop y distribuyendo un instalador MSI que implementa Rhadamanthys. Secuestra el cargador y entrega a Rhadamanthys.
Check Point dijo: «La continua evolución de los métodos de distribución de malware demuestra la increíble adaptabilidad y el ingenio de los actores de amenazas para evadir las defensas de seguridad tradicionales». «Los adversarios están adoptando cada vez más estrategias basadas en plataformas más sofisticadas, en particular el despliegue de redes fantasma».
«Estas redes aprovechan la confianza inherente de las cuentas legítimas y los mecanismos de participación de las plataformas populares para orquestar campañas de malware a gran escala, persistentes y altamente efectivas».
Source link
