Operasyonu ayrıntılarıyla anlatan yeni bir rapora göre, bilgi hırsızlığı yapan kötü amaçlı yazılımları dağıtmak için 3.000’den fazla kötü amaçlı YouTube videosu kullanıldı.
Raporda, Check Point Research tarafından “YouTube Hayalet Ağı” olarak adlandırılan büyük ölçekli kötü amaçlı yazılım dağıtım operasyonunun, Rhadamanthys ve Lumma gibi bilgi hırsızlarını dağıtmak için sahte ve güvenliği ihlal edilmiş YouTube hesapları kullandığı belirtiliyor.
Videoların çoğu artık kaldırıldı ancak kötü amaçlı yazılım operasyonu en azından 2021’den beri aktif.
Oyun hackleri ve hileleri ile yazılım çatlakları ve korsanlığı en çok hedeflenen kategorilerdi. Check Point, “Kırılmış yazılım kullanımının yasa dışı olduğunu ve bu tür sürümlerin sıklıkla gizli kötü amaçlı yazılım içerdiğini vurgulamak önemlidir” dedi.
En çok izlenen kötü amaçlı videolar, 293.000 görüntülemeyle Adobe Photoshop’u ve 147.000 görüntülemeyle FL Studio’yu hedef aldı.
Bilgi hırsızı kötü amaçlı yazılımını yaymak için kullanılan, güvenliği ihlal edilmiş YouTube hesapları
YouTube Hayalet Ağı’nın büyük bir kısmı, kötü amaçlı videolar yüklemek veya güvenliği ihlal edilmiş bir hesapta yanlış bir güven duygusu oluşturmak için beğenme ve yorum yapma gibi belirli operasyonel rollerin atandığı, güvenliği ihlal edilmiş YouTube hesaplarından oluşur.
Raporda, “Bu rol tabanlı yapı, yasaklı hesapların genel işleyişi aksatmadan hızlı bir şekilde değiştirilebilmesi nedeniyle daha gizli bir dağıtıma olanak tanıyor” denildi.
“Oyun Hackleri/Hileleri” kategorisinde en çok hedeflenen oyun, aylık 380 milyon aktif kullanıcı ve günlük yaklaşık 111,8 milyon aktif kullanıcıyla Roblox oldu. “Yazılım Çatlakları/Korsanlığı” kategorisinde Photoshop ve Lightroom başta olmak üzere Adobe ürünleri ana hedef konumundadır.
Video yayınlarındaki harici bağlantılar genellikle kullanıcıları MediaFire, Dropbox veya Google Drive gibi dosya paylaşım hizmetlerine veya Google Sites, Blogspot veya Telegraph (telegra.ph) gibi platformlarda barındırılan kimlik avı sayfalarına yönlendirir. Bu sayfalar daha sonra kötü amaçlı yazılımı indirmek için bağlantılar içerir ve kısaltılmış URL’ler genellikle harici bağlantının gerçek hedefini gizlemek için kullanılır.
Videoların açıklaması, bir indirme bağlantısı ve paylaşılan şifreyle tipik bir yapıyı takip ediyor. Adım adım talimatlar genellikle kullanıcılara “yanlış uyarıyı” önlemek için Windows Defender’ı geçici olarak devre dışı bırakmalarını tavsiye eder.
Potansiyel kurbanlara Windows Defender’ı geçici olarak devre dışı bırakmaları söylendikten sonra bir gönderide “Endişelenmeyin; arşiv temizdir” güvencesi veriliyor. “Defender, Setup.exe’nin kurulumlarla çalışma şekli nedeniyle yanlış uyarıyı tetikleyebilir.”
Çoğu durumda, dağıtılan kötü amaçlı yazılım bir bilgi hırsızıdır. Lumma, kesintiye uğramadan önce başlangıçta en çok dağıtılan kötü amaçlı yazılımdı, ardından Rhadamanthys geldi ve StealC ve Redline bilgi hırsızları da gözlemlendi.
Güvenliği Ele Geçirilmiş YouTube Hesapları Kötü Amaçlı Korsan Photoshop Dağıttı
Raporda güvenliği ihlal edilen iki YouTube kanalı ve hesabı ayrıntılı olarak ele alındı.
9.690 aboneye sahip YouTube kanalı @Sound_Writer, ağırlıklı olarak kripto para birimi yazılımı ve oyunlara odaklanan videolar yayınladı. Check Point, “Analizimiz, kanalın önceki içeriğinden önemli ölçüde farklı olan kötü amaçlı videoların ortaya çıkmasıyla da kanıtlandığı gibi, bu hesabın bir yıldan fazla bir süredir ele geçirildiğini gösteriyor” dedi.
Yaklaşık 129.000 aboneye sahip @Afonesio1 hesabının güvenliği 3 Aralık 2024 ile 5 Ocak 2025 arasında ele geçirildi ve o tarihten bu yana kötü amaçlı yazılım dağıtmak için dört video yükledi.
291.155 görüntüleme ve 54 olumlu yorumla hesabın en çok görüntülenen videolarından biri, “şüphelenmeyen izleyicileri Adobe Photoshop’un kırık bir sürümünü indirip çalıştırmaya teşvik etmek için kullanıldı.”
Videonun açıklamasında bir topluluk mesajı bağlantısı ve şifre korumalı arşivin sıkıştırmasını açmak için gereken şifre vardı. Check Point, gönderinin “yaklaşık 1.200 beğeni aldığını ve yazılım çözümünün etkinliğini öven çok sayıda olumlu yorum aldığını” söyledi. Gönderideki kısaltılmış bağlantı, kullanıcıları dosyanın indirilebileceği Dropbox’a yönlendirdi
Arşivde Adobe Photoshop’un cracklı versiyonu olan Adobe.Photoshop.2024.v25.1.0.120.exe isimli bir dosya bulunuyordu. Raporda, “Olumlu yorumların, yanlışlıkla kendilerine virüs bulaştıran gerçek kullanıcılardan mı, yoksa kötü amaçlı yazılımı yapay zeka yorumlarıyla tanıtan hayalet hesaplardan mı kaynaklandığı belirsizliğini koruyor” dedi.
Check Point sözlerini şöyle tamamladı: “Kötü amaçlı yazılım dağıtım yöntemlerinde süregelen evrim, tehdit aktörlerinin geleneksel güvenlik savunmalarını aşma konusunda olağanüstü uyum sağlama yeteneğini ve becerisini gösteriyor.” “E-posta kimlik avı bilinen ve kalıcı bir tehdit olmayı sürdürürken, araştırmamız, saldırganların giderek daha karmaşık, platform tabanlı stratejilere, özellikle de Hayalet Ağların konuşlandırılmasına doğru yöneldiğini ortaya koyuyor. Bu ağlar, büyük ölçekli, kalıcı ve son derece etkili kötü amaçlı yazılım kampanyaları düzenlemek için meşru hesapların doğasında olan güvenden ve popüler platformların etkileşim mekanizmalarından yararlanıyor.”