Kötü amaçlı bir YouTube hesapları ağının, kötü amaçlı yazılım indirmelerine yol açan videoları yayınladığı ve tanıttığı, esasen kötü amaçlı yükleri yaymak için video barındırma platformunun popülerliğini ve güvenini kötüye kullandığı gözlemlendi.
2021’den bu yana aktif olan ağ, bugüne kadar 3.000’den fazla kötü amaçlı video yayınladı ve bu tür videoların hacmi yılın başından bu yana üç katına çıktı. Kod adı verildi YouTube Hayalet Ağı Check Point tarafından. Google o zamandan beri bu videoların çoğunu kaldırmak için devreye girdi.
Kampanya, saldırıya uğramış hesaplardan yararlanıyor ve içeriklerini, onları arayan şüphelenmeyen kullanıcılara hırsız kötü amaçlı yazılım bulaştırmak için korsan yazılım ve Roblox oyun hileleri merkezli “kötü amaçlı” videolarla değiştiriyor. Bu videolardan bazıları 147.000 ila 293.000 arasında değişen yüz binlerce görüntülemeye ulaştı.
Check Point güvenlik araştırma grubu yöneticisi Eli Smadja, “Bu operasyon, kötü amaçlı içeriğin güvenli görünmesini sağlamak için görüntülemeler, beğeniler ve yorumlar dahil olmak üzere güven sinyallerinden yararlandı” dedi. “Faydalı bir eğitim gibi görünen şey aslında gösterişli bir siber tuzak olabilir. Bu ağın ölçeği, modülerliği ve karmaşıklığı, onu tehdit aktörlerinin artık kötü amaçlı yazılım yaymak için etkileşim araçlarını nasıl silah haline getirdiğine dair bir plan haline getiriyor.”
YouTube’un kötü amaçlı yazılım dağıtımı için kullanılması yeni bir olgu değil. Yıllardır, tehdit aktörlerinin yasal kanalları ele geçirdiği veya yeni oluşturulan hesapları kullanarak, tıklandığında kötü amaçlı yazılıma yol açan kötü amaçlı bağlantılara işaret eden açıklamalara sahip eğitim tarzı videolar yayınladığı gözlemlendi.
Bu saldırılar, saldırganların meşru platformları kötü amaçlarla yeniden tasarlayarak bunları kötü amaçlı yazılım dağıtımı için etkili bir yola dönüştürdüğü daha geniş bir eğilimin parçasıdır. Kampanyalardan bazıları, Google veya Bing gibi arama motorlarıyla ilişkili olanlar gibi meşru reklam ağlarını kötüye kullanırken, diğerleri, Stargazers Ghost Network örneğinde olduğu gibi, bir dağıtım aracı olarak GitHub’dan yararlandı.
Ghost Networks’ün bu kadar büyük bir ilerleme kaydetmesinin ana nedenlerinden biri, yalnızca paylaşılan bağlantıların algılanan meşruiyetini güçlendirmek için kullanılabilmeleri değil, aynı zamanda rol tabanlı yapıları sayesinde hesaplar platform sahipleri tarafından yasaklandığında veya kapatıldığında bile operasyonel sürekliliği koruyabilmeleridir.
Güvenlik araştırmacısı Antonis Terefos, “Bu hesaplar, kötü amaçlı içeriği teşvik etmek ve kötü amaçlı yazılım dağıtmak için videolar, açıklamalar, gönderiler (Facebook gönderisine benzer daha az bilinen bir YouTube özelliği) ve yorumlar gibi çeşitli platform özelliklerinden yararlanırken, sahte bir güven duygusu yaratıyor” dedi.
“Ağın çoğunluğu, eklendiğinde belirli operasyonel rollere atanan, güvenliği ihlal edilmiş YouTube hesaplarından oluşuyor. Bu rol tabanlı yapı, yasaklı hesapların genel işleyişi aksatmadan hızlı bir şekilde değiştirilebilmesi nedeniyle daha gizli bir dağıtıma olanak tanıyor.”
Belirli hesap türleri vardır –
- Kimlik avı videoları yükleyen ve reklamı yapılan yazılımı indirmek için bağlantılar içeren açıklamalar sağlayan video hesapları (alternatif olarak, bağlantılar sabitlenmiş bir yorum olarak paylaşılır veya kurulum sürecinin bir parçası olarak doğrudan videoda sağlanır)
- Topluluk mesajlarının ve harici sitelere bağlantılar içeren gönderilerin yayınlanmasından sorumlu olan posta hesapları
- Videolara güven ve inandırıcılık kazandırmak için beğenen ve teşvik edici yorumlar yayınlayan etkileşim hesapları
Bağlantılar, kullanıcıları MediaFire, Dropbox veya Google Drive gibi çok çeşitli hizmetlere ya da Google Sites, Blogger ve Telegraph’ta barındırılan ve sözde yazılımı indirmek için bağlantılar içeren kimlik avı sayfalarına yönlendiriyor. Bu durumların çoğunda bağlantılar, gerçek hedefi maskelemek için URL kısaltıcılar kullanılarak gizlenir.
YouTube Hayalet Ağı aracılığıyla dağıtılan kötü amaçlı yazılım ailelerinden bazıları arasında Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer ve diğer Node.js tabanlı yükleyiciler ve indiriciler bulunmaktadır.
- @Sound_Writer (9.690 abone) adlı bir kanal, Rhadamanthys’i dağıtmak için kripto para birimi yazılım videoları yüklemek amacıyla bir yılı aşkın süredir güvenliği ihlal edilmiş durumda.
- @Afonesio1 (129.000 abone) adlı bir kanal, 3 Aralık 2024 ve 5 Ocak 2025’te, Hijack Loader’ı dağıtan ve daha sonra Rhadamanthys’i sunan bir MSI yükleyicisini dağıtmak için Adobe Photoshop’un kırık bir sürümünün reklamını yapan bir video yüklemek amacıyla ele geçirildi.
Check Point, “Kötü amaçlı yazılım dağıtım yöntemlerinin süregelen gelişimi, tehdit aktörlerinin geleneksel güvenlik savunmalarını aşma konusunda olağanüstü uyum sağlama yeteneğini ve becerisini gösteriyor.” dedi. “Düşmanlar, giderek daha karmaşık, platform tabanlı stratejilere, özellikle de Hayalet Ağların konuşlandırılmasına doğru kayıyor.”
“Bu ağlar, büyük ölçekli, kalıcı ve son derece etkili kötü amaçlı yazılım kampanyalarını düzenlemek için meşru hesapların doğasında olan güvenden ve popüler platformların etkileşim mekanizmalarından yararlanıyor.”