Ponad 3 tys. złośliwych filmów i setki przejętych kont – tak wyglądają kulisy największej w historii kampanii malware na YouTube, odkrytej przez Check Point Research. Według ekspertów, tzw. „YouTube Ghost Network” działała nieprzerwanie od 2021 roku, a w 2025 r. jej aktywność potroiła się. Ofiarami kampanii mogą być tysiące użytkowników z całego świata.
Cyberprzestępcy wykorzystali popularność filmów z kategorii „Game Hacks/Cheats” i „Software Cracks/Piracy”, by infekować komputery widzów złośliwym oprogramowaniem typu infostealer – wykradającym loginy, hasła i dane finansowe. Filmy, często prezentujące rzekomo darmowe wersje Photoshopa, FL Studio czy narzędzia do kryptowalut, były opatrzone instrukcjami zachęcającymi użytkowników do tymczasowego wyłączenia Windows Defendera.
– To nowa era kampanii phishingowych. Zamiast podejrzanych maili, ofiary same wchodzą w pułapkę, ufając pozornie legalnym kontom i komentarzom – wyjaśnia Wojciech Głażewski, Managing Director firmy Check Point Software Polska.
Według raportu Check Point Research, najczęściej wykorzystywanym złośliwym oprogramowaniem był Lumma Stealer oraz Rhadamanthys, które po przejęciu danych łączyły się z serwerami C2 w Niemczech i Rosji. Co istotne, część filmów osiągała ogromny zasięg – ponad 290 000 wyświetleń – i posiadała setki pozytywnych komentarzy, co potęgowało wrażenie wiarygodności.
Szczególnie niebezpieczne były konta o dużej liczbie subskrybentów, np. kanał @Afonesio1 (129 tys. subskrybentów), który wykorzystywany był do dystrybucji złośliwej wersji Photoshopa. Z kolei inny kanał, @Sound_Writer, zachęcał pobieranie „oprogramowania do kryptowalut”, które po instalacji wykradało dane z niezabezpieczonych komputerów.
Eksperci podkreślają, iż tzw. „Ghost Networks” stają się nowym trendem w cyberprzestępczości – sieci fałszywych lub przejętych kont działają jak dobrze zorganizowany ekosystem, w którym jedne profile publikują filmy, inne udają zadowolonych użytkowników, a kolejne rozpowszechniają linki w komentarzach.
– YouTube Ghost Network pokazuje, jak cienka granica dzieli cyfrową rozrywkę od realnego zagrożenia finansowego – dodaje Wojciech Głażewski. Check Point poinformował, iż wszystkie zidentyfikowane materiały zostały zgłoszone do Google. Większość z nich już usunięto, ale – jak ostrzegają badacze – podobne kampanie mogą się odrodzić w każdej chwili.
