Se ha observado que una red maliciosa de cuentas de YouTube publica y promociona videos que conducen a descargas de malware, esencialmente abusando de la popularidad y la confianza asociadas con la plataforma de alojamiento de videos para propagar cargas efectos maliciosas.
Activa desde 2021, la red ha publicado más de 3.000 vídeos maliciosos hasta la época, y el tamaño de dichos vídeos se ha triplicado desde principios de año. Ha recibido el nombre en esencia de Red sombra de YouTube por Punto de control. Desde entonces, Google intervino para eliminar la mayoría de estos videos.
La campaña aprovecha las cuentas pirateadas y reemplaza su contenido con videos “maliciosos” que se centran en software pirateado y trucos de juegos Roblox para infectar a los usuarios desprevenidos que los buscan con malware atracador. Algunos de estos vídeos han acumulado cientos de miles de visitas, entre 147.000 y 293.000.
“Esta operación aprovechó las señales de confianza, incluidas vistas, me gusta y comentarios, para hacer que el contenido pillo pareciera seguro”, dijo Eli Smadja, administrador del orden de investigación de seguridad de Check Point. “Lo que parece un tutorial útil puede ser en ingenuidad una trampa cibernética pulida. La escalera, la modularidad y la sofisticación de esta red la convierten en un maniquí de cómo los actores de amenazas ahora utilizan herramientas de billete como armas para propagar malware”.
El uso de YouTube para la distribución de malware no es un engendro nuevo. Durante primaveras, se ha observado que los actores de amenazas secuestran canales legítimos o utilizan cuentas recién creadas para informar videos estilo tutorial con descripciones que apuntan a enlaces maliciosos que, al hacer clic, conducen a malware.
Estos ataques son parte de una tendencia más amplia en la que los atacantes reutilizan plataformas legítimas para fines nefastos, convirtiéndolas en una vía eficaz para la distribución de malware. Si acertadamente algunas de las campañas han abusado de redes publicitarias legítimas, como las asociadas con motores de búsqueda como Google o Bing, otras han estudioso GitHub como transporte de entrega, como en el caso de Stargazers Ghost Network.
Una de las principales razones por las que Ghost Networks ha tenido un gran despegue es que no sólo pueden estar de moda para amplificar la legalidad percibida de los enlaces compartidos, sino todavía para proseguir la continuidad operativa incluso cuando los propietarios de la plataforma prohíben o eliminan las cuentas, gracias a su estructura basada en roles.
“Estas cuentas aprovechan varias características de la plataforma, como videos, descripciones, publicaciones (una característica menos conocida de YouTube similar a la publicación de Facebook) y comentarios para promover contenido pillo y distribuir malware, mientras crean una falsa sensación de confianza”, dijo el investigador de seguridad Antonis Terefos.
“La decano parte de la red consta de cuentas de YouTube comprometidas, a las que, una vez agregadas, se les asignan roles operativos específicos. Esta estructura basada en roles permite una distribución más sigilosa, ya que las cuentas prohibidas pueden reemplazarse rápidamente sin interrumpir la operación universal”.
Hay tres tipos específicos de cuentas:
- Cuentas de vídeo, que cargan vídeos de phishing y proporcionan descripciones que contienen enlaces para descargar el software anunciado (alternativamente, los enlaces se comparten como un comentario fijado o se proporcionan directamente en el vídeo como parte del proceso de instalación).
- Cuentas de publicaciones, que son responsables de informar mensajes de la comunidad y publicaciones que contienen enlaces a sitios externos.
- Cuentas interactivas, que dan me gusta y publican comentarios alentadores para darle a los videos una apariencia de confianza y credibilidad.
Los enlaces dirigen a los usuarios a una amplia serie de servicios como MediaFire, Dropbox o Google Drive, o páginas de phishing alojadas en Google Sites, Blogger y Telegraph que, a su vez, incorporan enlaces para descargar el supuesto software. En muchos de estos casos, los enlaces se ocultan mediante acortadores de URL para ocultar el seguro destino.
Algunas de las familias de malware distribuidas a través de YouTube Ghost Network incluyen Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer y otros cargadores y descargadores basados en Node.js.
- Un canal llamado @Sound_Writer (9,690 suscriptores), que ha estado comprometido durante más de un año para cargar videos de software de criptomonedas para implementar Rhadamanthys.
- Un canal llamado @Afonesio1 (129.000 suscriptores), que se vio comprometido el 3 de diciembre de 2024 y el 5 de enero de 2025 para cargar un vídeo que anuncia una traducción descifrada de Adobe Photoshop para distribuir un instalador MSI que implementa Hijack Loader, que luego entrega Rhadamanthys.
“La continua progreso de los métodos de distribución de malware demuestra la sobresaliente adaptabilidad e ingenio de los actores de amenazas para eludir las defensas de seguridad convencionales”, afirmó Check Point. “Los adversarios están cambiando cada vez más con destino a estrategias más sofisticadas basadas en plataformas, en particular, el despliegue de Ghost Networks”.
“Estas redes aprovechan la confianza inherente a las cuentas legítimas y los mecanismos de billete de plataformas populares para orquestar campañas de malware a gran escalera, persistentes y enormemente efectivas”.
