Ciberseguridad 360 | 3,000 videos de YouTube vinculados a grupo Ghost

Se ha observado una red de cuentas de YouTube que publica y promociona videos que conducen a descargas de malware, abusando esencialmente de la popularidad y la confianza asociadas a la plataforma de alojamiento de videos para propagar cargas no seguras.

Activa desde 2021, la red ha publicado m�s de 3000 v�deos hasta la fecha, y el volumen de dichos videos se ha triplicado desde principios de a�o. Check Point la ha bautizado con el nombre en clave de YouTube Ghost Network. Desde entonces, Google ha intervenido para eliminar la mayor�a de estos videos.

La campa�a aprovecha cuentas pirateadas y sustituye su contenido por v�deos centrados en software pirateado y trucos para el juego Roblox con el fin de infectar con malware ladr�n a usuarios desprevenidos que los buscan. Algunos de estos v�deos han acumulado cientos de miles de visitas, entre 147 000 y 293 000.

"Esta operaci�n se aprovech� de las se�ales de confianza, como las visualizaciones, los me gusta y los comentarios, para hacer que el contenido pareciera seguro", afirm� Eli Smadja, director del grupo de investigaci�n de seguridad de Check Point. "Lo que parece un tutorial �til puede ser en realidad una sofisticada trampa cibern�tica. La escala, la modularidad y la sofisticaci�n de esta red la convierten en un modelo de c�mo los actores utilizan ahora las herramientas de interacci�n para propagar software no seguro".

El uso de YouTube para la distribuci�n de malware no es un fen�meno nuevo. Durante a�os, se ha observado c�mo los actores secuestran canales leg�timos o utilizan cuentas de nueva creaci�n para publicar v�deos de estilo tutorial con descripciones que apuntan a enlaces que, al hacer clic en ellos, conducen a malware.

Estos ataques forman parte de una tendencia m�s amplia en la que los atacantes reutilizan plataformas leg�timas, convirti�ndolas en una v�a eficaz para la distribuci�n de malware. Mientras que algunas de las campa�as han abusado de redes publicitarias leg�timas, como las asociadas a motores de b�squeda como Google o Bing, otras han aprovechado GitHub como veh�culo de distribuci�n, como en el caso de Stargazers Ghost Network.

Una de las principales razones por las que las redes Ghost Networks han tenido tanto �xito es que no solo pueden utilizarse para amplificar la legitimidad percibida de los enlaces compartidos, sino tambi�n para mantener la continuidad operativa incluso cuando las cuentas son prohibidas o eliminadas por los propietarios de la plataforma, gracias a su estructura basada en roles.

"Estas cuentas aprovechan diversas funciones de la plataforma, como videos, descripciones, publicaciones (una funci�n menos conocida de YouTube similar a las publicaciones de Facebook) y comentarios para promover contenidos no seguro y distribuir malware, al tiempo que crean una falsa sensaci�n de confianza", afirma el investigador de seguridad Antonis Terefos.

"La mayor parte de la red est� formada por cuentas de YouTube comprometidas que, una vez a�adidas, se les asignan funciones operativas espec�ficas. Esta estructura basada en roles permite una distribuci�n m�s sigilosa, ya que las cuentas bloqueadas pueden sustituirse r�pidamente sin interrumpir el funcionamiento general".

Hay tres tipos espec�ficos de cuentas:

Cuentas de v�deo, que suben v�deos de phishing y proporcionan descripciones que contienen enlaces para descargar el software anunciado (alternativamente, los enlaces se comparten como un comentario fijado o se proporcionan directamente en el v�deo como parte del proceso de instalaci�n).

Cuentas de publicaci�n, que se encargan de publicar mensajes y entradas de la comunidad que contienen enlaces a sitios externos.

Cuentas de interacci�n, que dan �me gusta� y publican comentarios alentadores para dar a los v�deos una apariencia de confianza y credibilidad.

Los enlaces dirigen a los usuarios a una amplia gama de servicios como MediaFire, Dropbox o Google Drive, o a p�ginas de phishing alojadas en Google Sites, Blogger y Telegraph que, a su vez, incorporan enlaces para descargar el supuesto software. En muchos de estos casos, los enlaces se ocultan mediante acortadores de URL para enmascarar el verdadero destino.

Algunas de las familias de malware distribuidas a trav�s de la red fantasma de YouTube incluyen Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer y otros cargadores y descargadores basados en Node.js:

Un canal llamado @Sound_Writer (9690 suscriptores), que ha sido comprometido durante m�s de un a�o para subir v�deos de software de criptomonedas con el fin de desplegar Rhadamanthys

Un canal llamado @Afonesio1 (129 000 suscriptores), que fue comprometido el 3 de diciembre de 2024 y el 5 de enero de 2025 para subir un v�deo que anunciaba una versi�n pirateada de Adobe Photoshop con el fin de distribuir un instalador MSI que implementa Hijack Loader, que a su vez entrega Rhadamanthys.

"La continua evoluci�n de los m�todos de distribuci�n de malware demuestra la notable capacidad de adaptaci�n y el ingenio de los autores de amenazas a la hora de eludir las defensas de seguridad convencionales", afirma Check Point. "Los adversarios est�n adoptando cada vez m�s estrategias sofisticadas basadas en plataformas, entre las que destaca el despliegue de redes fantasma".

"Estas redes aprovechan la confianza inherente a las cuentas leg�timas y los mecanismos de interacci�n de las plataformas populares para orquestar campa�as de malware a gran escala, persistentes y muy eficaces".

Fuente: thehackernews