Check Point araştırmacıları YouTube’da “YouTube Hayalet Ağı” adını verdikleri gizli, büyük ölçekli bir kötü amaçlı yazılım dağıtım operasyonunu ortaya çıkardı, haritasını çıkardı ve engellenmesine yardımcı oldu.
Ağ, güvenliği ihlal edilmiş veya sahte kanallarda 3.000’den fazla video yayınlayarak izleyicileri oyun hileleri, kırılmış yazılımlar veya korsan araçlarla cezbetti, bunun yerine kötü amaçlı yazılım veya kimlik avı sayfaları dağıttı. 
YouTube Hayalet Ağı
YouTube Hayalet Ağı, kötü amaçlı yazılım ve kimlik avı bağlantısı olarak Hizmet Olarak Dağıtım olarak hizmet veren, sahte veya ele geçirilmiş GitHub hesaplarından oluşan daha önce ortaya çıkarılan bir ağ olan Stargazers Hayalet Ağı’na çarpıcı biçimde benziyor.
Stargazers Ghost Network’te farklı hesaplar farklı roller üstleniyordu. Bazı hesaplar, hedefleri kötü amaçlı indirmelere yönlendirdi, diğerleri kötü amaçlı yazılım sundu ve diğerleri, diğer hesapların potansiyel kurbanlar için meşru görünmesini sağlamak amacıyla açık bir şekilde, yıldız eklemeye, çatallanmaya ve kötü amaçlı depolara abone olmaya devam etti.
Benzer şekilde YouTube Hayalet Ağı, video hesaplarından, gönderi hesaplarından ve etkileşim hesaplarından oluşur.
Kötü amaçlı yazılım satıcıları tarafından ele geçirilen veya oluşturulan video hesapları, Adobe Photoshop’un ücretsiz/kırılmış bir sürümü veya Roblox gibi popüler oyunlar için oyun hackleri gibi ilgi çekici bir şey vaat eden videolar yükler. Açıklamalar, indirme bağlantılarını veya izleyicileri Dropbox, Google Drive veya MediaFire gibi hizmetlerdeki şifre korumalı arşivlere yönlendirmeyi içerir ve genellikle kullanıcılara, indirilen kırık yazılımı yüklemeden önce Windows Defender’ı geçici olarak devre dışı bırakmalarını söyler.
Gönderi hesapları, aynı bağlantı ve parolalarla topluluk gönderileri yayınlıyor ve etkileşimli hesaplar, yorum bölümlerini sahte onaylarla doldurarak sahte bir güven duygusu yaratıyor.
Olumlu yorumların yer aldığı yorum bölümü (Kaynak: Check Point Research)
Araştırmacılar, “E-posta kimlik avı bilinen ve kalıcı bir tehdit olmayı sürdürürken, araştırmamız, saldırganların giderek daha karmaşık, platform tabanlı stratejilere, özellikle de Hayalet Ağların konuşlandırılmasına doğru yöneldiğini ortaya koyuyor. Bu ağlar, büyük ölçekli, kalıcı ve oldukça etkili kötü amaçlı yazılım kampanyaları düzenlemek için meşru hesapların doğasında olan güveni ve popüler platformların etkileşim mekanizmalarını kullanıyor.”
“Kullanıcıları Hayalet Ağlar aracılığıyla hedeflemek, web üzerinden ağ yayınlamaya benzer; kullanıcıların yaklaşması ve esasen kendilerine bulaştırması gerekir.”
Dayanıklı bir kötü amaçlı yazılım dağıtım ağı
YouTube Hayalet Ağı, dikkat çekmemek ve dayanıklı olmak için tasarlanmıştır.
Hesapların çoğu, güvenliği ihlal edilmiş meşru YouTube kanallarıdır. Bir kanal yasaklandığında veya işaretlendiğinde, ağ basitçe kanalın yerini alır ve roller farklı hesaplara bölündüğü için, parçalar kapatılsa bile işlem esnek kalır. 
Araştırmacılar, “Tehdit aktörleri bağlantıları ve yükleri düzenli olarak güncelleyerek, kısmi kaldırma sonrasında bile enfeksiyon zincirlerinin kalıcı olmasını sağladı” dedi.
“Bu kampanyaların teknik gelişmişliği, şifre korumalı arşivlerin, yedek barındırma platformlarının ve hem yük hem de komuta ve kontrol (C2) altyapısının sık sık güncellenmesinin kullanılmasıyla daha da kanıtlanmaktadır. Bu taktikler, hem platform operatörleri hem de güvenlik sağlayıcıları tarafından otomatik tespitten, itibara dayalı engellemeden ve manuel incelemeden kaçınmak için özel olarak tasarlanmıştır.”
Bu ağ üzerinden dağıtılan kötü amaçlı yazılımların çoğu bilgi hırsızlarıdır; en önemlisi Lumma Stealer ve Rhadamanthys’tir.
Ağ en az 2021’den beri aktif ancak 2025’te kötü amaçlı videoların sayısı üç katına çıktı.
YouTube Hayalet Ağı, araştırmacıların işaretleyip Google’ın 3.000’den fazla kötü amaçlı videoyu kaldırmasının ardından sekteye uğradı, ancak bu çabanın arkasındaki kişilerin kolayca pes etmesi pek olası değil.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!