СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.10.2025
#ИБ

YouTube Ghost Network: сеть распространения вредоносного ПО и фишинга

YouTube Ghost Network: сеть распространения вредоносного ПО и фишинга

По данным Check Point Research, исследователи обнаружили скоординированную сеть распространения вредоносного ПО на платформе YouTube, получившую название YouTube Ghost Network. Сеть действует с 2021 года и за это время разрослась до более чем 3 000 вредоносных аккаунтов, которые используют функции платформы для продвижения и доставки вредоносного контента — зачастую создавая у пользователей ложное ощущение безопасности.

Ключевые выводы расследования

  • Сеть насчитывает более 3 000 вредоносных аккаунтов и демонстрирует значительный всплеск активности в 2025 году: количество вредоносных видеороликов увеличилось втрое.
  • Главными «приманками» выступают категории «Взломы игр /читы» и «Взломы программного обеспечения /пиратство», ориентированные на пользователей, ищущих незаконные загрузки.
  • Среди распространяемого ПО наиболее опасны стиллеры — программы для кражи информации. До перерыва в работе в марте—мае 2025 года наиболее часто распространяемым стиллером был Lumma, после чего лидером стал Rhadamanthys.
  • Самой популярной «целью» вредоносных видеороликов оказался Adobe Photoshop, суммарно набравший около 293 000 просмотров — что отражает эффективность кампаний в привлечении широкой аудитории.

Как работает сеть

Анализ показал, что злоумышленники используют многоуровневую структуру с назначением отдельных операционных ролей скомпрометированным аккаунтам. Такая организация обеспечивает следующую тактику:

  • массовое размещение видеоконтента, описаний и комментариев, создающих видимость легитимности;
  • быстрая замена заблокированных учетных записей за счет заранее подготовленного пула скомпрометированных аккаунтов, что обеспечивает непрерывность кампаний;
  • использование платной рекламы — в частности, вредоносных кампаний Google Ads — для перенаправления на фишинговые сайты и страницы с загрузками вредоносного ПО.

Эволюция тактик и переход платформенного вектора нападения

Исследование подчеркивает адаптивность киберпреступников: по мере того как традиционные векторы заражения (например, фишинг по e‑mail) становятся менее эффективными, злоумышленники активнее переносят операции на платформы с крупной аудиторией. YouTube предоставляет широкие возможности для маскировки — видео, авторитетный вид профилей и комментарии — что повышает доверие потенциальных жертв.

Кроме того, операторы сети оперативно меняют используемое вредоносное семейство (например, смена Lumma на Rhadamanthys), чтобы обойти блокировки и контрмеры защитных команд.

Как пользователю снизить риск

Полученные результаты подчеркивают необходимость повышенной бдительности при взаимодействии с контентом, предлагающим «бесплатные» или взломанные версии программ и игр. Базовые рекомендации:

  • Не загружайте программное обеспечение и «crack»-файлы с ненадежных источников и по ссылкам из описаний под видео.
  • Проверяйте URL целевых страниц перед загрузкой; избегайте перенаправлений с рекламных объявлений и коротких ссылок без явного домена.
  • Обновляйте ОС и приложения, используйте антивирусное ПО и EDR-решения, где это применимо.
  • Включите двухфакторную аутентификацию (2FA) для критичных аккаунтов и не доверяйте аккаунтам с сомнительной активностью.

Что это значит для платформы и индустрии

Использование скомпрометированных аккаунтов и платных рекламных инструментов подрывает доверие к легитимным механизмам взаимодействия на платформе. Это ставит перед YouTube и рекламными экосистемами задачу усиления механизмов обнаружения, фильтрации и блокировки таких координированных кампаний. Для конечных пользователей — сигнал о том, что даже популярные платформы нельзя считать автоматически безопасными источниками софта.

В заключение: расследование Check Point Research о YouTube Ghost Network — важное напоминание о том, что киберпреступники постоянно адаптируют свои методы и ищут новые каналы для массового распространения вредоносного ПО. Пользователям и организациям следует повышать уровень цифровой гигиены и внимательно относиться к источникам загрузок и ссылок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: