Korsan yazılım ve oyun hileleri arayan kullanıcıları hedef alan, 3.000’den fazla kötü amaçlı YouTube videosundan yararlanan karmaşık bir kötü amaçlı yazılım dağıtım kampanyası ortaya çıkarıldı.
YouTube Hayalet Ağı, sahte etkileşim yoluyla sahte güven yaratırken bilgi çalan kötü amaçlı yazılımları dağıtmak için platform özelliklerinden yararlanan, güvenliği ihlal edilmiş hesaplardan oluşan koordineli bir ekosistemi temsil eder.
2021’den bu yana aktif olan ağ, 2025’te operasyonlarını önemli ölçüde artırdı ve kötü amaçlı video üretimi önceki yıllara göre üç katına çıktı.
Kampanya öncelikli olarak trafiğin yoğun olduğu iki kategoriye odaklanıyor: oyun değişiklikleri ve crackli yazılım uygulamaları.
En çok izlenen kötü amaçlı video, Adobe Photoshop’un reklamını yaparak 293.000 görüntüleme ve 54 yorum toplarken, FL Studio’yu tanıtan bir diğer video ise 147.000 görüntülemeye ulaştı.
Bu videolar, kurbanları, kötü amaçlı yazılım içeren, parola korumalı arşivlerin indirilmeyi beklediği dosya paylaşım platformlarına yönlendiriyor. Yaygın parolalar arasında “1337” ve “2025” yer alıyor ve talimatlar, kullanıcılara sürekli olarak yürütmeden önce Windows Defender’ı devre dışı bırakmalarını tavsiye ediyor.
Check Point araştırmacıları ağın operasyonel yapısını belirledi ve koordinasyon içinde çalışan üç farklı hesap rolünü ortaya çıkardı.
Video hesapları, açıklamalara veya sabitlenmiş yorumlara yerleştirilmiş indirme bağlantıları içeren aldatıcı içerik yükler.
Posta hesapları, harici bağlantılar ve arşiv şifreleri içeren topluluk mesajlarını tutar ve tespit edilmekten kaçınmak için bunları sık sık günceller.
Interact hesapları, teşvik edici yorumlar ve beğeniler yayınlayarak, kurbanları yazılımın reklamı yapıldığı gibi çalıştığına inandırarak yapay meşruiyet üretiyor.
Dağıtılan kötü amaçlı yazılım esas olarak bilgi hırsızlarından oluşuyor ve Lumma, Mart ve Mayıs 2025 arasındaki kesintiye kadar hakim durumda.
.webp)
Bu kaldırma işleminin ardından tehdit aktörleri tercih ettikleri yük olarak Rhadamanthys’e yöneldi. En son Rhadamanthys çeşidi (v0.9.2), hxxps://94.74.164 dahil olmak üzere komuta ve kontrol sunucularıyla iletişim kurar.[.]157:8888/gateway/6xomjoww.1hj7n, kimlik bilgilerini ve hassas kullanıcı verilerini sızdırıyor.
Teknik Gelişmişlik Sayesinde Tespitten Kaçınma
Kampanya, güvenlik önlemlerini atlamak ve kalıcılığı sürdürmek için birden fazla kaçırma katmanı kullanıyor.
Saldırganlar dosyaları MediaFire, Dropbox ve Google Drive gibi meşru platformlarda barındırarak kullanıcıların bu hizmetlere olan güvenini kötüye kullanır.
189 MB’ı aşan büyük arşiv dosyaları Google Drive’da otomatik virüs taramasını engellerken, şifre koruması da güvenlik çözümlerinin içerikleri analiz etmesini engeller.
Kısaltılmış URL’ler gerçek hedefleri gizler ve Google Sites’ta barındırılan kimlik avı sayfaları, işlemi daha da meşrulaştırır.
Kötü amaçlı yazılım altyapısı, aktörlerin her üç ila dört günde bir yükleri güncellemesi ve her sürümde komuta ve kontrol sunucularının değişmesiyle hızlı bir uyarlanabilirlik sergiliyor.
MSI yükleyici dosyaları düşük algılama oranları sergiliyor; son örnekler VirusTotal’daki 63 güvenlik sağlayıcısından 57’sinden kaçıyor.
Kampanya güncellemeleri, 21 ve 24 Eylül’de derlenen son değişkenlerle birlikte sürekli çalışmayı gösteren zaman damgalarını korur.
Analiz edilen bir arşiv, ilk yük olarak HijackLoader’ı içeriyordu ve ardından Rhadamanthys’i hxxps://5.252.155 ile iletişimle birlikte teslim ediyordu.[.]99/gateway/r2sh55wm.a56d3.
Bu kısa ömürlü oluşturma stratejisi, itibara dayalı engelleme mekanizmalarının tehditleri tanımlamak için yeterli veri toplamasını önler.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
