3.000 video trên YouTube là bẫy phần mềm độc hại trong chiến dịch Ghost Network

[Starlink]

Một mạng lưới tài khoản YouTube độc hại đã bị phát hiện đang đăng tải và quảng bá các video dẫn đến việc tải xuống phần mềm độc hại, về cơ bản là lợi dụng sự phổ biến và lòng tin liên quan đến nền tảng lưu trữ video để phát tán các phần mềm độc hại.

Hoạt động từ năm 2021, mạng lưới này đã phát tán hơn 3.000 video độc hại cho đến nay, với số lượng video tăng gấp ba lần kể từ đầu năm. Check Point đặt tên mã cho mạng lưới này là YouTube Ghost Network. Google sau đó đã vào cuộc để xóa phần lớn các video này.

Chiến dịch này lợi dụng các tài khoản bị hack và thay thế nội dung của chúng bằng các video "độc hại" tập trung vào phần mềm lậu và gian lận trong trò chơi Roblox để lây nhiễm phần mềm độc hại đánh cắp cho những người dùng không hề hay biết. Một số video này đã thu hút hàng trăm nghìn lượt xem, từ 147.000 đến 293.000 lượt xem.

"Chiến dịch này đã lợi dụng các tín hiệu tin cậy, bao gồm lượt xem, lượt thích và bình luận, để khiến nội dung độc hại có vẻ an toàn", Eli Smadja, quản lý nhóm nghiên cứu bảo mật tại Check Point, cho biết. "Những gì trông có vẻ như một hướng dẫn hữu ích thực chất có thể là một cái bẫy mạng được trau chuốt kỹ lưỡng. Quy mô, tính mô-đun và sự tinh vi của mạng lưới này khiến nó trở thành một bản thiết kế cho cách các tác nhân đe dọa hiện nay sử dụng các công cụ tương tác để phát tán phần mềm độc hại."

Việc sử dụng YouTube để phát tán phần mềm độc hại không phải là hiện tượng mới. Trong nhiều năm qua, các tác nhân đe dọa đã bị phát hiện chiếm đoạt các kênh hợp pháp hoặc sử dụng các tài khoản mới tạo để đăng tải các video hướng dẫn với mô tả chỉ đến các liên kết độc hại, khi nhấp vào sẽ dẫn đến phần mềm độc hại.

Những cuộc tấn công này là một phần của xu hướng rộng lớn hơn, trong đó kẻ tấn công lợi dụng các nền tảng hợp pháp cho mục đích xấu, biến chúng thành một con đường hiệu quả để phát tán phần mềm độc hại. Trong khi một số chiến dịch đã lợi dụng các mạng quảng cáo hợp pháp, chẳng hạn như các mạng liên kết với các công cụ tìm kiếm như Google hoặc Bing, một số khác lại lợi dụng GitHub làm phương tiện phân phối, như trường hợp của Stargazers Ghost Network.

Một trong những lý do chính khiến Ghost Networks phát triển mạnh mẽ là vì chúng không chỉ có thể được sử dụng để khuếch đại tính hợp pháp của các liên kết được chia sẻ mà còn duy trì tính liên tục hoạt động ngay cả khi các tài khoản bị chủ sở hữu nền tảng cấm hoặc xóa, nhờ vào cấu trúc dựa trên vai trò của chúng.

Nhà nghiên cứu bảo mật Antonis Terefos cho biết: "Những tài khoản này lợi dụng nhiều tính năng nền tảng khác nhau, chẳng hạn như video, mô tả, bài đăng (một tính năng ít được biết đến trên YouTube tương tự như bài đăng trên Facebook) và bình luận để quảng bá nội dung độc hại và phát tán phần mềm độc hại, đồng thời tạo ra cảm giác tin tưởng sai lầm".

"Phần lớn mạng lưới bao gồm các tài khoản YouTube bị xâm phạm, sau khi được thêm vào, sẽ được giao các vai trò hoạt động cụ thể. Cấu trúc dựa trên vai trò này cho phép phân phối nội dung một cách bí mật hơn, vì các tài khoản bị cấm có thể được thay thế nhanh chóng mà không làm gián đoạn hoạt động chung."

Có ba loại tài khoản cụ thể:

    Tài khoản video, tải lên các video lừa đảo và cung cấp mô tả có chứa liên kết để tải xuống phần mềm được quảng cáo (hoặc các liên kết được chia sẻ dưới dạng bình luận được ghim hoặc được cung cấp trực tiếp trong video như một phần của quá trình cài đặt)
    Tài khoản bài đăng, chịu trách nhiệm xuất bản tin nhắn cộng đồng và bài đăng có chứa liên kết đến các trang web bên ngoài
    Tài khoản tương tác, thích và đăng các bình luận khích lệ để tạo cho video vẻ ngoài đáng tin cậy và đáng tin cậy

Các liên kết này dẫn người dùng đến nhiều dịch vụ khác nhau như MediaFire, Dropbox hoặc Google Drive, hoặc các trang lừa đảo được lưu trữ trên Google Sites, Blogger và Telegraph, sau đó lại chứa các liên kết để tải xuống phần mềm giả mạo. Trong nhiều trường hợp, các liên kết này được ẩn đi bằng cách sử dụng trình rút gọn URL để che giấu đích đến thực sự.

Một số nhóm phần mềm độc hại được phân phối qua YouTube Ghost Network bao gồm Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer và các trình tải và trình tải xuống dựa trên Node.js khác:

    Một kênh có tên @Sound_Writer (9.690 người đăng ký), đã bị xâm phạm trong hơn một năm để tải lên các video phần mềm tiền điện tử để triển khai Rhadamanthys
    Một kênh có tên @Afonesio1 (129.000 người đăng ký), đã bị xâm phạm vào ngày 3 tháng 12 năm 2024 và ngày 5 tháng 1 năm 2025, để tải lên video quảng cáo phiên bản Adobe Photoshop đã bị bẻ khóa nhằm phân phối trình cài đặt MSI triển khai Hijack Loader, sau đó phân phối Rhadamanthys

"Sự phát triển không ngừng của các phương thức phát tán phần mềm độc hại cho thấy khả năng thích ứng và sự tháo vát đáng kinh ngạc của các tác nhân đe dọa trong việc vượt qua các biện pháp phòng thủ an ninh thông thường", Check Point cho biết. "Kẻ thù đang ngày càng chuyển sang các chiến lược tinh vi hơn, dựa trên nền tảng, đáng chú ý nhất là việc triển khai Mạng Ma (Ghost Networks)".

"Các mạng lưới này tận dụng sự tin tưởng vốn có trong các tài khoản hợp pháp và cơ chế tương tác của các nền tảng phổ biến để điều phối các chiến dịch phần mềm độc hại quy mô lớn, dai dẳng và cực kỳ hiệu quả."