נחשפה רשת זדונית של חשבונות יוטיוב אשר מפרסמת ומקדמת סרטונים המובילים להורדות נוזקות ובכך למעשה, מנצלת לרעה את הפופולריות והאמון הקשורים לפלטפורמת אירוח הווידאו לצורך הפצת נוזקות. הרשת, הפעילה מאז 2021, פרסמה עד כה למעלה מ- 3,000 סרטונים זדוניים, כאשר כמות הסרטונים הללו שולשה מתחילת השנה. חברת צ'ק פוינט העניקה לרשת את שם הקוד YouTube Ghost Network – 'רשת רוחות יוטיוב'. מאז, התערבה גוגל והסירה את רוב הסרטונים הללו. חשוב להבין כי מתקפת סייבר זו מנצלת חשבונות פרוצים ומחליפה את תוכנם בסרטונים זדוניים המתמקדים בתוכנות פיראטיות ובצ'יטים למשחקי Roblox, במטרה להדביק משתמשים המחפשים אותם. חלק מהסרטונים הללו צברו בין 147,000 ל- 293,000 צפיות.
"פעולה זו ניצלה אמון, צפיות, לייקים ותגובות, כדי לגרום לתוכן זדוני להיראות בטוח", אמר אלי סמדג'ה – מנהל קבוצת מחקר אבטחה בצ'ק פוינט והוסיף: "מה שנראה כמו מדריך מועיל יכול למעשה להיות מלכודת סייבר מלוטשת. קנה המידה, המודולריות והתחכום של רשת זו הופכים אותה לתוכנית אב לאופן שבו משתמשים גורמי איום ברשתות חברתיות כדי להפיץ נוזקות."
יש לציין כי השימוש ביוטיוב להפצת נוזקות אינו תופעה חדשה: במשך שנים נצפו גורמי איום חוטפים ערוצים לגיטימיים או משתמשים בחשבונות חדשים כדי לפרסם סרטוני הדרכה הכוללים תיאורים המצביעים על קישורים זדוניים שכאשר לוחצים עליהם, מובילים להורדת נוזקות. מתקפות אלו הן חלק ממגמה רחבה יותר שבה משתמשים פושעי סייבר בפלטפורמות לגיטימיות למטרות זדוניות והופכים אותן לנתיב יעיל להפצת נוזקות. בעוד שחלק ממתקפות הסייבר ניצלו לרעה רשתות פרסום לגיטימיות, כמו אלו הקשורות למנועי חיפוש כגון גוגל או בינג, ניצלו אחרים את GitHub ככלי אספקה, כמו במקרה של 'רשת רוחות Stargazers'. אחת הסיבות העיקריות לכך שרשתות הרוחות הצליחו בגדול, היא שניתן להשתמש בהן לא רק כדי להגביר את הלגיטימיות של הקישורים שהן משתפות, אלא גם כדי לשמור על המשכיות תפעולית כאשר נחסמים החשבונות או נמחקים על ידי בעלי הפלטפורמה.
ישנם שלושה סוגים ספציפיים של חשבונות:
- חשבונות וידאו אשר מעלים סרטוני דיוג ומספקים תיאורים המכילים קישורים להורדת התוכנה המפורסמת (לחלופין, הקישורים משותפים כתגובה מוצמדת או מסופקים ישירות בסרטון כחלק מתהליך ההתקנה).
- חשבונות פוסט האחראים על פרסום הודעות קהילתיות ופוסטים המכילים קישורים לאתרים חיצוניים.
- חשבונות אינטראקציה המעלים לייק ומפרסמים תגובות מעודדות כדי להעניק לסרטונים מעטה של אמון ואמינות.
הקישורים מכוונים משתמשים למגוון רחב של שירותים כמו MediaFire, Dropbox או Google Drive, או דפי דיוג המתארחים ב- Google Sites, Blogger ו- Telegraph, אשר בתורם משלבים קישורים להורדת הנוזקה. ברבים מהמקרים הללו מוסתרים הקישורים באמצעות כתובות URL מקוצרות כדי להסוות את היעד האמיתי.
עדיין לא ידוע אם כל הסרטונים והחשבונות שנחטפו הם פרי עבודתו של גורם איום יחיד, או שמדובר בסוג של הפצה כשירות (DaaS) אותה יכולים פושעי סייבר אחרים לשכור כדי להפיץ את הנוזקות שלהם. "נראה שהרשת פועלת כקולקטיב, כאשר גורמי איום שונים מפיצים את הנוזקות שלהם דרך חשבונות אלו", אמרה צ'ק פוינט ל- The Hacker News והדגישה: "אין לנו ראיות ברורות לכך שיש גורם איום יחיד – יתכן שיש מספר גורמים שאימצו שיטת פעולה זו. למרות שכל הסרטונים חולקים תיאורים ופורמטים דומים, אם מעורבים גורמי איום נוספים, ייתכן שהם 'העתיקו' או קיבלו השראה משיטת הפעולה של המפעיל המקורי."
חלק ממשפחות הנוזקות המופצות דרך רשת YouTube Ghost כוללות את Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer וכן, נוזקות אחרות מבוססות Node.js. "ההתפתחות המתמשכת של שיטות הפצת נוזקות מדגימה את יכולת ההסתגלות והתושייה המדהימות של גורמי איום בעקיפת הגנות אבטחה קונבנציונליות", אמרה צ'ק פוינט. כמו כן, לדבריה: "פושעי סייבר עוברים יותר ויותר לאסטרטגיות מתוחכמות יותר, מבוססות פלטפורמה ובראשן פריסת רשתות Ghost. רשתות אלו ממנפות את האמון הטמון בחשבונות לגיטימיים ואת מנגנוני המעורבות של פלטפורמות פופולריות כדי להוציא לפועל מתקפות סייבר גדולות, מתמשכות ויעילות יותר."
