揭秘YouTube恶意软件分发网络
关键发现
Check Point Research发现并分析了YouTube幽灵网络,这是一个在YouTube上运作的复杂且协调的恶意账户集合。这些账户系统性地利用YouTube功能推广恶意内容,最终分发恶意软件,同时在观众中制造虚假的信任感。
我们的调查识别并报告了与该网络相关的3000多个恶意视频。这些视频大部分已被移除,显著降低了对更广泛数字生态系统的威胁。该网络似乎至少从2021年开始活跃,每年保持稳定的恶意内容输出。值得注意的是,2025年此类视频的创建量增长了三倍,凸显了该恶意软件分发活动的可扩展性和日益增长的有效性。
该网络主要针对"游戏外挂/作弊"和"软件破解/盗版"类别,这些领域持续吸引大量潜在受害者。需要强调的是,使用破解软件是非法的,且此类版本经常包含隐藏的恶意软件。我们数据集中观看次数最多的恶意视频针对Adobe Photoshop,获得293,000次观看和54条评论,而第二多的针对FL Studio,获得147,000次观看。
在2025年3月至5月Lumma信息窃取程序被破坏之前,Lumma是该网络中最常分发的恶意软件。在此次破坏之后,我们观察到威胁行为者策略的转变,Rhadamanthys成为首选的窃取程序。总体而言,通过YouTube幽灵网络分发的大多数恶意软件由信息窃取程序组成,对用户凭证和敏感数据构成重大风险。
引言
近年来,威胁行为者不断调整策略,寻找新的有效恶意软件分发方法。虽然电子邮件仍然是最突出的感染媒介之一,但由于安全解决方案的广泛部署和用户意识的提高,其有效性已经减弱。因此,攻击者寻求替代途径来更有效地接触目标。一个显著的转变是使用恶意Google广告活动,将毫无戒心的用户重定向到旨在传递恶意软件的钓鱼页面。
最近,Check Point Research发现威胁格局进一步演变,即跨多个平台的幽灵网络的出现。幽灵网络被定义为作为服务运作的虚假或"幽灵"账户集合,操纵平台参与机制将恶意活动伪装成良性活动,实现大规模恶意软件分发。第一个完全记录的此类网络实例是Stargazers幽灵网络,它在GitHub上运作。在这种情况下,幽灵账户托管看似可信的恶意存储库,欺骗受害者下载恶意软件。
在本出版物中,Check Point Research研究了另一个幽灵网络,这次在YouTube上运作,利用超过3000个恶意视频,主要目标是分发恶意软件。这些网络中的账户经常被入侵,合法内容经常被劫持以托管恶意材料。这些视频通常获得积极的参与,如点赞和鼓励性评论,在观众中培养虚假的信任感。最常针对的内容类别是"游戏外挂/作弊"和"软件破解/盗版",这些类别持续吸引大量潜在受害者,尽管破解软件是非法的且破解版本经常携带隐藏的恶意软件。
与该网络相关的活动似乎始于2021年左右,与恶意YouTube视频的显著增加同时发生,可能表明该网络的开始。从2021年到2024年,此类视频的数量保持相对稳定。然而,在2025年,尽管这一年尚未结束,恶意视频的数量已经比前几年增长了三倍,凸显了显著的上升趋势,并强调了这种分发方法日益增长的有效性。
YouTube幽灵网络
YouTube幽灵网络是在YouTube上运作的恶意账户集合。这些账户利用各种平台功能,如视频、描述、帖子(一个类似于Facebook帖子的较不知名的YouTube功能)和评论来推广恶意内容和分发恶意软件,同时制造虚假的信任感。该网络的大部分由被入侵的YouTube账户组成,这些账户一旦被添加,就被分配特定的操作角色。这种基于角色的结构实现了更隐蔽的分发,因为被禁止的账户可以迅速替换而不中断整体操作。
三个主要角色如下:
- 视频账户:上传"钓鱼"视频并提供包含下载所谓软件链接的描述。为了进一步增强合法性,这些账户经常回复恶意视频上"用户"的评论。上传后,他们可能会用新链接更新描述。
- 帖子账户:负责发布社区消息和帖子。这些账户共享外部下载链接和访问受密码保护存档的密码。他们经常用新链接和密码更新这些帖子。在某些情况下,视频账户也可能直接共享外部链接和密码。可能,此类账户使用AI与视频下的评论互动。
- 互动账户:通过发布正面评论或点赞视频和帖子来认可恶意内容,从而使其看起来安全可信。
除了上述典型方法外,我们还观察到视频账户采用的几种策略变体:
- 在描述中直接共享外部链接
- 作为置顶评论共享链接
- 不在描述或评论中共享任何链接,而是在视频"安装"过程中共享密码和链接
提供的外部链接通常将用户重定向到文件共享服务,如MediaFire、Dropbox或Google Drive,或重定向到托管在Google Sites、Blogspot或Telegraph (telegra.ph)等平台上的钓鱼页面。这些页面包含下载恶意软件的进一步链接。经常使用缩短的URL来隐藏外部链接的真实目的地。
此类视频的描述遵循典型的"结构",共享下载链接和密码。通常提供分步说明,常见建议用户"暂时"禁用Windows Defender。在大多数情况下,分发的恶意软件是信息窃取程序,旨在将用户信息和凭证外泄到恶意命令和控制(C2)服务器。
Check Point Research已监控YouTube幽灵网络约一年,并识别了多个恶意软件家族,主要是信息窃取程序,其中Lumma和Rhadamanthys是最普遍的。从2024年到2025年3月至5月Lumma被破坏期间,Lumma是最常分发的恶意软件。在此次破坏之后,威胁行为者转向分发Rhadamanthys作为首选的窃取程序。
- Rhadamanthys
- Lumma Stealer
- StealC
- RedLine
- 0debug和其他Phemedrone变体
- 基于NodeJS的加载器和下载器
- …
活动I – Rhadamanthys
拥有9,690订阅者的YouTube频道@Sound_Writer发布了几个主要关注加密货币软件和游戏的视频,总共积累了约24,000次观看。我们的分析表明,该账户已被入侵超过一年,这由与频道先前内容显著不同的恶意视频的出现所证明。
一个获得约10,000次观看的视频宣传加密货币软件,并指示观众遵循描述中提供的链接。该链接将用户重定向到托管在sites.google.com上的钓鱼页面,由威胁行为者创建,该页面还共享包含恶意负载的受密码保护存档的密码。
尽管共享的存档是恶意的,软件没有按声称的功能运行,且可执行文件没有与任何合法应用程序捆绑,该视频收到了42条评论,其中绝大多数是压倒性的正面评论,并鼓励观众下载和执行该程序。这些评论很可能由被入侵或恶意账户发布,进一步说服受害者进行安装。
受害者被重定向到托管在Google上的钓鱼站点,在那里他们被提供安装说明。这些说明中的一个常见步骤是"关闭Windows Defender",这是潜在受害者安装指南中经常指示的步骤。最终,恶意软件在未受保护的机器上运行。
完整消息:
|
|
在此活动期间,威胁行为者利用两个不同的平台托管相同的恶意文件,提供冗余性并在一个实例被检测或报告时增加隐蔽性。另一个观察到的策略是上传大文件,这些文件经常被自动扫描系统忽略。此外,使用受密码保护的存档来逃避检查,因为安全解决方案没有密码无法解压缩和分析内容。
存档包含多个设计成伪装成合法软件的文件。基于编译和修改时间戳,该活动很可能始于9月8日。
交付的负载是Rhadamanthys信息窃取程序的最新版本(v0.9.2),观察到与命令和控制(C2)端点hxxps://94.74.164[.]157:8888/gateway/6xomjoww.1hj7n通信。
9月23日,威胁行为者用新版本替换了原始负载,并更新了其sites.google.com钓鱼页面上的链接。该活动继续分发新的恶意软件,利用YouTube作为主要分发渠道。
随后,行为者切换到新的Rhadamanthys v0.9.2控制服务器:openai-pidor-with-ai[.]com:6343和178[.]16.53.236:6343,使用路径/gateway/pqnrojhl.adc7k。行为者的低努力更新使得能够持续分发Rhadamanthys信息窃取程序,显著增加了活动的持久性和覆盖范围。
活动II – HijackLoader & Rhadamanthys
拥有约129,000订阅者的YouTube账户@Afonesio1在2024年12月3日至2025年1月5日期间被入侵。自被入侵以来,该账户上传了四个视频以分发恶意软件。
一个观看次数最多的视频,有291,155次观看和54条正面评论,被用来诱使毫无戒心的观众下载和执行Adobe Photoshop的破解版本。
在视频描述中,提供了社区消息链接和解压缩受密码保护存档所需的密码。社区帖子还包括下载链接和存档密码。该帖子获得了约1,200个点赞和许多赞扬软件解决方案有效性的正面评论。帖子中共享的短链接将用户重定向到Dropbox,在那里可以下载文件:hxxps://www.dropbox[.]com/scl/fi/9cwpoorh4xmxxpyssxdwi/Adobe.Premiere.Pro.2025.rar?rlkey=d1p8taclagn2brrdrg0qlic47&st=23bxjuyi&dl=1
特定账户和帖子负责分发最新链接,该链接交付一个受密码保护的存档。该账户先前发布了多个帖子推广各种软件产品,包括Adobe Photoshop、Adobe Premiere Pro、Lightroom、Filmora、FL Studio和CorelDRAW。值得注意的是,这些应用程序吸引了目标受众的YouTuber和其他内容创作者,表明威胁行为者可能故意将其活动定制针对这一人群。
下载的存档包含一个MSI文件,编译和修改时间戳均为9月21日,表明活动的可能开始日期。同一文件首次在VirusTotal上于该日期观察到,表现出低检测率。
值得注意的是,存档还包含一个名为Adobe.Photoshop.2024.v25.1.0.120.exe的文件,这实际上是Adobe Photoshop的破解版本。目前尚不清楚正面评论是来自无意中感染自己的真实用户,还是来自用AI评论推广恶意软件的幽灵账户。
存档中的MSI安装程序包含多个文件。使用lessmsi分析CustomAction表显示,可执行文件bw97v41m.exe首先启动,然后作为Remote-Vector32.exe写入磁盘。识别的负载是HijackLoader,随后交付Rhadamanthys信息窃取程序。在此活动中,观察到Rhadamanthys与命令和控制(C2)服务器hxxps://5.252.155[.]99/gateway/r2sh55wm.a56d3通信。
9月24日,攻击者更新了存档并添加了新的下载链接。更新的Rhadamanthys恶意软件与hxxps://5.252[.]155.231/gateway/3jw9q65j.b3tit通信。该样本的VirusTotal检测分数甚至低于先前的提交,表明攻击很可能逃避大多数防病毒解决方案的检测。
攻击者似乎每三到四天发布一个新版本的恶意软件,每次更新轮换控制服务器(C2)。这些短暂存在的构建和频繁的C2变化破坏了基于声誉的检测机制。每个新样本和C2端点对安全系统来说都是新的,阻止了声誉数据的积累,使得更难阻止该活动。
网络统计
通过幽灵网络 targeting 用户类似于在网络上撒网,用户必须接近并 essentially 感染自己。为了吸引这些用户,威胁行为者提供各种定制解决方案,设计成吸引特定受众。通过分析3000多个视频标题,我们识别并分类了最常针对和最积极参与的用户群体。
“游戏外挂/作弊"中最针对的游戏是Roblox,拥有3.8亿月活跃用户和约1.118亿日活跃用户。在"软件破解/盗版"类别中,Adobe产品是主要目标,Photoshop和Lightroom居列表首位。我们数据集中观看次数最多的恶意视频针对Adobe Photoshop,积累了293,000次观看和54条评论,而第二多的针对FL Studio,有147,000次观看。尽管游戏类别包含更多视频,但总观看次数显著低于软件类别。
结论
恶意软件分发方法的持续演变展示了威胁行为者在绕过传统安全防御方面的显著适应性和机智性。虽然电子邮件钓鱼仍然是一个众所周知且持久的威胁,但我们的研究显示,对手越来越转向更复杂的、基于平台的策略,最显著的是幽灵网络的部署。这些网络利用合法账户中固有的信任和流行平台的参与机制来 orchestrate 大规模、持久且高度有效的恶意软件活动。
我们的调查中发现的YouTube幽灵网络 exemplifies 这种新范式。通过系统性地入侵账户并分配专门角色,如内容创建、社区参与和信任建立,威胁行为者能够即使在账户禁止或删除的情况下也保持操作连续性。这种模块化、基于角色的结构不仅增加了网络的弹性,而且使得能够快速适应平台对策,使得检测和 disruption 对防御者来说显著更具挑战性。
我们对3000多个恶意视频的分析揭示了一个清晰的目标策略,内容被定制以吸引高参与度用户群体,如寻求作弊的游戏玩家和搜索破解或盗版软件的个人。使用正面评论、点赞和社区帖子进一步放大了这些活动的感知合法性,增加了用户互动和自我感染的可能性。2025年恶意视频上传的急剧增长,比前几年数量增长三倍,强调了这种分发模型的可扩展性和日益增长的有效性。
这些活动的技术复杂性进一步 evidenced 通过使用受密码保护的存档、冗余托管平台以及负载和命令控制(C2)基础设施的频繁更新。这些策略 specifically 设计用于逃避自动检测、基于声誉的阻止以及平台运营商和安全供应商的手动审查。
对网络安全社区的影响是重大的。随着威胁行为者继续创新,安全研究人员、平台提供商和执法部门之间的合作变得越来越关键。主动威胁情报共享、快速删除恶意内容以及检测技术的持续改进对于 counteracting 这些 evolving 威胁至关重要。此外,用户教育仍然是一个重要的防线,个人必须意识到从非官方来源下载软件的风险以及网络犯罪分子 employed 的欺骗性策略。
Check Point Research对YouTube幽灵网络的全面调查不仅暴露了这些行为者的操作 playbook,而且导致了 tangible disruption。通过向Google报告超过3000个恶意视频,我们直接 contributed 于 dismantling 该网络和保护全球无数用户。然而,这些活动的持久性和适应性强调了需要持续警惕、创新和跨部门合作,以保护数字生态系统免受下一代恶意软件分发策略的侵害。
防护
Check Point Threat Emulation和Harmony Endpoint提供对攻击策略、文件类型和操作系统的全面覆盖,并保护 against 本报告中描述的 attacks 和 threats。
危害指标(IOC)
| 描述 | 值 |
|---|---|
| 活动I, Set-up.zip | 92c26a15336f96325e4a3a96d4206d6a5844e6a735af663ba81cf3f39fd6bdfe |
| 活动I, Set-up.exe, Rhadamanthys | b429a3e21a3ee5ac7be86739985009647f570548b4f04d4256139bc280a6c68f |
| 活动I, Rhadamanthys C&C | hxxps://94.74.164[.]157:8888/gateway/6xomjoww.1hj7n |
| 活动I, Set-up.zip, 23/9 | da36e5ec2a8872af6e2f7e8f4d9fdf48a9c4aa12f8f3b3d1b052120d3f932f01 |
| 活动I, Set-up.exe, 23/9, Rhadamanthys | b41fb6e936eae7bcd364c5b79dac7eb34ef1c301834681fbd841d334662dbd1d |
| 活动I, Set-up.exe, 23/9, Rhadamanthys C&C | hxxps://openai-pidor-with-ai[.]com:6343/gateway/pqnrojhl.adc7k hxxps://178.16.53[.]236:6343/gateway/pqnrojhl.adc7k |
| 活动II, Adobe.Photoshop.2025.rar | 7d9e36250ce402643e03ac7d67cf2a9ac648b03b42127caee13ea4915ff1a524 |
| 活动II, Set-Up.msi | ad81b2f47eefcdce16dfa85d8d04f5f8b3b619ca31a14273da6773847347bec8 |
| 活动II, Rhadamanthys C&C | hxxps://5.252.155[.]99/gateway/r2sh55wm.a56d3 |
| 活动II, Adobe.Photoshop.2025.rar, 24/9 | 19b6bb806978e687bc6a638343b8a1d0fbd93e543a7a6a6ace4a2e7d8d9a900b |
| 活动II, Set-Up.msi, 24/9 | 270121041684eab38188e4999cc876057fd7057ec4255a63f8f66bd8103ae9f2 |
| 活动II, C&C, 24/9 | hxxps://5.252.155[.]231/gateway/3jw9q65j.b3tit |