Ponad 3 tys. filmów na YouTube służyło do kradzieży danych

Ponad 3 tysiące zainfekowanych filmów i setki przejętych kont – tak wyglądała jedna z największych kampanii złośliwego systemu na YouTube, którą ujawnili eksperci Check Point Research. Zidentyfikowana sieć „YouTube Ghost Network” działa od 2021 roku, a w 2025 roku jej aktywność znacząco wzrosła. Według badaczy ofiarami mogły być tysiące użytkowników z różnych krajów.

Jak działała YouTube Ghost Network

Atakujący wykorzystywali popularne kategorie filmów, takie jak „Game Hacks/Cheats” czy „Software Cracks”, aby rozprzestrzeniać złośliwe oprogramowanie typu infostealer. Tego rodzaju programy służyły do kradzieży haseł, loginów i danych finansowych. Wideo często udawały poradniki lub darmowe wersje znanych aplikacji, zachęcając widzów do pobrania plików i wyłączenia zabezpieczeń systemu Windows.


– To nowa era kampanii phishingowych. Zamiast podejrzanych maili, ofiary same wchodzą w pułapkę, ufając pozornie legalnym kontom i komentarzom – mówi Wojciech Głażewski, Managing Director firmy Check Point Software Polska.


Najczęściej wykorzystywanym oprogramowaniem był Lumma Stealer oraz Rhadamanthys. systemu po przejęciu danych łączyły się z serwerami C2 w Niemczech i Rosji. Niektóre filmy osiągały ponad 290 tys. wyświetleń i miałysetki pozytywnych komentarzy, co potęgowało wrażenie autentyczności.

Kanały i skala zagrożenia

Szczególnie niebezpieczne były konta o dużej liczbie subskrybentów, jak @Afonesio1 (129 tys. subskrybentów), wykorzystywane do dystrybucji złośliwej wersji Photoshopa. Inny kanał, @Sound_Writer, zachęcał użytkowników do pobrania „oprogramowania do kryptowalut”, które wykradało dane z niezabezpieczonych komputerów.


Co więcej, eksperci ostrzegają, iż tzw. „Ghost Networks” stają się nowym trendem w cyberprzestępczości. Sieci fałszywych lub przejętych kont działają jak zorganizowany ekosystem. Jedne profile publikują filmy, inne udają zadowolonych użytkowników, a kolejne rozpowszechniają złośliwe linki w komentarzach.


– YouTube Ghost Network pokazuje, jak cienka granica dzieli cyfrową rozrywkę od realnego zagrożenia finansowego – podkreśla Wojciech Głażewski.


Wszystkie zidentyfikowane materiały zostały zgłoszone do Google. Większość z nich usunięto, ale podobne kampanie mogą się odrodzić w każdej chwili.

---

Przeczytaj także:

• Pracownicy cyberbezpieczeństwa są wypaleni. To realne zagrożenie dla firm


• Koniec wsparcia Windows 10. Firmy muszą wybrać między bezpieczeństwem a kosztami


• Czego najbardziej boją się Polacy w sieci? Phishing na podium


• Liczba cyfrowych oszustw w Polsce wzrosła o 30 proc. w rok