YouTube, smantellata la "Ghost Network": video-tutorial usati per diffondere infostealer

"Se vuoi nascondere qualcosa, mettilo ben in vista": la società di sicurezza Check Point Research ha individuato una vasta infrastruttura di distribuzione malware celata in uno tra gli spazi tendenzialmente più affidabili del web: YouTube. Quello che sembrava un innocuo ecosistema di tutorial e dimostrazioni software era in realtà una rete sofisticata di diffusione di infostealer, battezzata YouTube Ghost Network. L’operazione sfruttava account YouTube compromessi o fasulli per promuovere minacce come Rhadamanthys e Lumma, spesso camuffate da software craccati o cheat per videogiochi. L'indagine, che si è sviluppata nel corso di svariati mesi, ha infine portato Check Point Research a collaborare con Google alla rimozione di oltre 3 mila video dannosi, così da interrompere le operazioni di uno dei canali di distribuzione malware più estesi mai osservati sulla piattaforma video.

Fonte: Check Point Research

Una struttura modulare pensata per scalare e resistere

Questo genere di orgenizzazione e struttura ha permesso alla rete di scalare rapidamente e di sopravvivere ai ban. All'eventuale blocco di un profilo, ne entravano in azione immediatamente altri, garantendo quindi continuità operativa alla catena e rendendo complicato e laborioso riuscire a contrastare le attività della Ghost Network.

Fonte: Check Point Research

Questa rete utilizzava come "esche" offerte particolarmente allettanti, come ad esempio versioni craccate di Adobe Photoshop, FL Studio e Microsoft Office, oppure hack per videogiochi come Roblox. Le vittime venivano indirizzate a scaricare archivi ospitati su servizi come Dropbox, Google Drive o MediaFire. Le istruzioni richiedevano spesso di disattivare temporaneamente Windows Defender, per poi estrarre e installare quello che veniva presentato come software legittimo ma che in realtà era malware. Una volta eseguiti, gli infostealer esfiltravano credenziali, chiavi di portafogli di criptovalute e dati di sistema verso server di comando e controllo che venivano ruotati ogni pochi giorni per eludere il rilevamento.

Fonte: Check Point Research

Durante le indagini, Check Point Research ha individuato un canale YouTube compromesso con ben 129.000 iscritti, che ha pubblicato una presunta versione di Photoshop craccata raggiungendo 291.000 visualizzazioni e oltre 1.000 like. Un altro canale compromesso ha preso di mira in maniera sistematica gli utenti di criptovalute, reindirizzando gli spettatori verso pagine di phishing su Google Sites usate per distribuire Rhadamanthys Stealer. I criminali informatici aggiornavano con regolarità link e payload, così da mantenere attive le catene di infezione anche dopo rimozioni parziali, sempre con lo scopo di rafforzare la capacità della rete di continuare a condurre la propria attività.

La campagna riflette un cambiamento più ampio nelle strategie del cybercrimine. Sfruttando meccanismi di engagement come like, commenti e post, gli attaccanti trasformano la credibilità sociale in uno strumento di infezione. A differenza del phishing tradizionale, questi attacchi assumono maggior efficacia perché appaiono autentici e coerenti con l’ecosistema della piattaforma, sfruttando di fatto quel meccanismo della manipolazione della fiducia proprio dell’ingegneria sociale, dove l’apparenza di legittimità si trasforma in una arma particolarmente subdola.

Se situazioni di questo tipo richiedono inevitabilmente un approccio proattivo da parte delle piattaforme, con l'uso di sistemi di rilevamento automatico e l'identificazione di account sospetti, anche l'utente finale può adottare alcuni comportamenti "sani" che permettono di mantenersi maggiormente al sicuro. Spesso si tratta di semplice buon senso: evitare il download di software da fonti non ufficiali o craccate (o adottare consapevolezza di cosa si sta facendo e quali rischi si possono correre nel farlo), non disattivare mai le protezioni antivirus su richiesta di un installer e considerare sempre con scetticismo i video che promettono risorse “gratuite” circondate da like e commenti entusiastici.