Check Point 研究人員揭露一個名為「YouTube Ghost Network」的大規模惡意軟體散布網路,該網路自 2021 年起持續活躍,透過超過 3,000 支影片在 YouTube 平台散布竊資軟體 (Infostealer)。這個精密設計的惡意網路採用分工明確的帳號體系,利用遭入侵的合法頻道與多層技術手段成功規避偵測長達四年。
三層帳號架構打造完整攻擊鏈
YouTube Ghost Network 的核心設計在於其精密的分工體系。研究人員發現,該網路將帳號分為三大類別,各司其職形成完整的攻擊鏈。
- 影片帳號 (Video Accounts) 負責上傳誘餌影片,這些帳號多數是遭入侵的合法 YouTube 頻道。影片內容承諾提供免費或破解版的 Adobe Photoshop,或是熱門遊戲如 Roblox 的遊戲外掛。影片說明欄位包含下載連結,引導觀眾前往 Dropbox、Google Drive 或 MediaFire 等服務下載受密碼保護的壓縮檔,並指示使用者在安裝前關閉 Windows Defender。
- 貼文帳號 (Post Accounts) 則在社群貼文中發布相同的下載連結與密碼,擴大惡意內容觸及範圍。
- 互動帳號 (Interact Accounts) 在影片留言區大量發布虛假正面評論,營造其他使用者已成功下載的假象,降低潛在受害者的警戒心。
高度韌性與技術複雜度
「YouTube Ghost Network」主要使用遭入侵的合法 YouTube 頻道,一旦某個頻道遭封鎖,網路會立即替換新頻道。由於角色分散於不同帳號,即使部分帳號被移除,整體網路仍可持續運作。
攻擊者採用多項策略規避偵測。密碼保護壓縮檔可防止自動化掃描工具直接檢查內容。多重託管平台策略確保一旦某個連結被移除,可快速切換至備援連結。攻擊者還頻繁更新C2伺服器 使特徵碼偵測系統難以跟上變化。
Check Point 研究人員指出:「這些戰術專門設計來規避自動化偵測、信譽評等封鎖,以及平台營運者與資安廠商的人工審查。」
透過 YouTube Ghost Network 散布的惡意程式,絕大多數屬於竊資軟體,其中最常見的是 Lumma Stealer 與 Rhadamanthys。這些軟體專門竊取瀏覽器密碼、信用卡資料、加密貨幣錢包及社群媒體帳號憑證。
「平台為基礎策略」
「YouTube Ghost Network」至少自 2021 年起運作,但在 2025 年出現顯著擴張,惡意影片數量成長至先前的三倍。在 Check Point 通報後,Google 已移除超過 3,000 支惡意影片,但研究人員警告,幕後操作者不太可能輕易放棄。
YouTube Ghost Network 與先前揭露的「Stargazers Ghost Network」有驚人相似性。後者利用假造或遭入侵的 GitHub 帳號散布惡意軟體,顯示攻擊者正系統化地利用不同平台的特性與使用者信任機制。
研究人員強調,攻擊者正從傳統電子郵件釣魚轉向更複雜的「平台為基礎策略」(Platform-based Strategies)。這些攻擊利用合法帳號固有的信任度,以及熱門平台的互動機制,來策劃大規模、持續且高度有效的惡意軟體攻擊行動。
當使用者主動搜尋「Roblox 外掛」或「Photoshop 破解版」時,他們實際上是自行走向陷阱,虛假的正面評論進一步強化信任感。
YouTube Ghost Network 的揭露凸顯網路犯罪者持續創新攻擊手法,利用合法平台的信任機制散布惡意軟體。真正有效的防護不僅需要技術手段,更需要改變使用者行為與建立正確的資安意識。
本文轉載自helpnetsecurity。