YouTube, smantellata la "Ghost Network": video-tutorial usati per diffondere infostealer

YouTube, smantellata la "Ghost Network": video-tutorial usati per diffondere infostealer

Check Point Research ha smascherato su YouTube la YouTube Ghost Network, una rete coordinata di account falsi o compromessi che diffondeva infostealer come Rhadamanthys e Lumma tramite video-tutorial e link a software craccati; segnalati a Google e rimossi oltre 3.000 video dopo mesi di indagine congiunta

di pubblicata il , alle 08:57 nel canale Sicurezza
Check Point ResearchYouTube
 

"Se vuoi nascondere qualcosa, mettilo ben in vista": la società di sicurezza Check Point Research ha individuato una vasta infrastruttura di distribuzione malware celata in uno tra gli spazi tendenzialmente più affidabili del web: YouTube. Quello che sembrava un innocuo ecosistema di tutorial e dimostrazioni software era in realtà una rete sofisticata di diffusione di infostealer, battezzata YouTube Ghost Network. L’operazione sfruttava account YouTube compromessi o fasulli per promuovere minacce come Rhadamanthys e Lumma, spesso camuffate da software craccati o cheat per videogiochi. L'indagine, che si è sviluppata nel corso di svariati mesi, ha infine portato Check Point Research a collaborare con Google alla rimozione di oltre 3 mila video dannosi, così da interrompere le operazioni di uno dei canali di distribuzione malware più estesi mai osservati sulla piattaforma video.


Fonte: Check Point Research

Le indagini hanno evidenziato che Ghost Network è un sistema coordinato di account falsi o di profili legittimi ma compromessi, progettati per apparire affidabili e guadagnare credibilità. Ogni tipologia di account svolgeva un ruolo preciso all’interno dell’operazione, in modo da costruire fiducia per aumentare l’efficacia del contagio. Gli account dedicati ai video pubblicavano contenuti in stile tutorial con istruzioni e link per scaricare file malevoli presentati come risorse utili. Gli account orientati ai post della community condividevano password, dettagli operativi e link aggiornati, mantenendo vivi i canali di distribuzione anche in caso di rimozioni. Gli account di interazione riempivano le pagine di commenti positivi e like, facendo apparire i contenuti come legittimi e popolari agli occhi degli utenti.

Una struttura modulare pensata per scalare e resistere

Questo genere di orgenizzazione e struttura ha permesso alla rete di scalare rapidamente e di sopravvivere ai ban. All'eventuale blocco di un profilo, ne entravano in azione immediatamente altri, garantendo quindi continuità operativa alla catena e rendendo complicato e laborioso riuscire a contrastare le attività della Ghost Network.


Fonte: Check Point Research

Questa rete utilizzava come "esche" offerte particolarmente allettanti, come ad esempio versioni craccate di Adobe Photoshop, FL Studio e Microsoft Office, oppure hack per videogiochi come Roblox. Le vittime venivano indirizzate a scaricare archivi ospitati su servizi come Dropbox, Google Drive o MediaFire. Le istruzioni richiedevano spesso di disattivare temporaneamente Windows Defender, per poi estrarre e installare quello che veniva presentato come software legittimo ma che in realtà era malware. Una volta eseguiti, gli infostealer esfiltravano credenziali, chiavi di portafogli di criptovalute e dati di sistema verso server di comando e controllo che venivano ruotati ogni pochi giorni per eludere il rilevamento.


Fonte: Check Point Research

Durante le indagini, Check Point Research ha individuato un canale YouTube compromesso con ben 129.000 iscritti, che ha pubblicato una presunta versione di Photoshop craccata raggiungendo 291.000 visualizzazioni e oltre 1.000 like. Un altro canale compromesso ha preso di mira in maniera sistematica gli utenti di criptovalute, reindirizzando gli spettatori verso pagine di phishing su Google Sites usate per distribuire Rhadamanthys Stealer. I criminali informatici aggiornavano con regolarità link e payload, così da mantenere attive le catene di infezione anche dopo rimozioni parziali, sempre con lo scopo di rafforzare la capacità della rete di continuare a condurre la propria attività.

La campagna riflette un cambiamento più ampio nelle strategie del cybercrimine. Sfruttando meccanismi di engagement come like, commenti e post, gli attaccanti trasformano la credibilità sociale in uno strumento di infezione. A differenza del phishing tradizionale, questi attacchi assumono maggior efficacia perché appaiono autentici e coerenti con l’ecosistema della piattaforma, sfruttando di fatto quel meccanismo della manipolazione della fiducia proprio dell’ingegneria sociale, dove l’apparenza di legittimità si trasforma in una arma particolarmente subdola.

Se situazioni di questo tipo richiedono inevitabilmente un approccio proattivo da parte delle piattaforme, con l'uso di sistemi di rilevamento automatico e l'identificazione di account sospetti, anche l'utente finale può adottare alcuni comportamenti "sani" che permettono di mantenersi maggiormente al sicuro. Spesso si tratta di semplice buon senso: evitare il download di software da fonti non ufficiali o craccate (o adottare consapevolezza di cosa si sta facendo e quali rischi si possono correre nel farlo), non disattivare mai le protezioni antivirus su richiesta di un installer e considerare sempre con scetticismo i video che promettono risorse “gratuite” circondate da like e commenti entusiastici.

I migliori sconti su Amazon oggi
-33%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 63.99 Compra ora
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
-25%

Logitech G G502 X PLUS Mouse Gaming Wireless LIGHTSPEED RGB - Mouse Ottico con Switch Ibridi LIGHTFORCE, LIGHTSYNC RGB, Sensore per Gaming HERO 25K, Compatibile con PC - macOS/Windows - Bianco

132.53 99.99 Compra ora
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
djfix1327 Ottobre 2025, 12:15 #1
il senso di metter un like su un video che mostra software craccato è da ZERO neuroni!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^