YouTube幽灵恶意软件活动：超3000个感染视频瞄准用户

Check Point Research发现了一个名为YouTube幽灵网络的大规模恶意软件分发行动，包含超过3,000个恶意视频，旨在用危险的信息窃取恶意软件感染毫无戒心的用户。

这个复杂的网络犯罪网络至少从2021年开始运作，2025年活动量增加了两倍，威胁行为者越来越多地利用YouTube受信任的平台来绕过传统安全措施。

YouTube幽灵网络代表了恶意软件分发策略的重大演变，超越了传统的网络钓鱼邮件，转而利用用户对流行社交媒体平台的固有信任。

安全研究人员确定了三种不同类型的受感染账户在协同工作：上传恶意内容的视频账户、分享下载链接和密码的发布账户，以及通过正面评论和互动制造虚假合法性的互动账户。

这种基于角色的结构使网络即使在单个账户被禁止时也能维持运营，因为威胁行为者可以快速替换受损元素而不会中断整个活动。

YouTube幽灵网络运作

该网络主要针对寻求"游戏黑客/作弊"和"软件破解/盗版"的用户，尽管下载未经授权软件存在固有风险，但这些类别继续吸引大量潜在受害者。

数据集中最成功的恶意视频针对Adobe Photoshop，累计获得293,000次观看和54条评论，而另一个针对FL Studio的视频达到了147,000次观看。

这些数字证明了该分发方法的巨大覆盖范围和有效性，特别是与面临日益增加安全障碍的传统电子邮件活动相比。

恶意软件演变反映行业动荡

在执法部门对主要恶意软件家族采取行动后，该网络的有效载荷偏好发生了显著变化。

在2025年3月至5月Lumma信息窃取器被破坏之前，Lumma是该网络中最常分发的恶意软件。在此次取缔之后，安全研究人员观察到威胁行为者转向使用Rhadamanthys作为他们首选的信息窃取工具。

这种适应性行为突显了网络犯罪生态系统的动态性质，运营商会根据安全对策快速调整策略。

活动分析揭示高级策略

对特定活动的详细分析揭示了该网络的运营复杂性。在一个记录案例中，一个拥有9,690名订阅者的受损YouTube频道被用来通过加密货币主题视频分发Rhadamanthys信息窃取器。

该活动在多个平台上使用冗余托管，包括Google Sites、MediaFire和Dropbox，以确保即使单个组件被检测和删除也能持续存在。

另一个重要活动通过一个拥有129,000名订阅者的受损账户针对内容创作者，分发伪装成破解版Adobe产品的恶意软件。

该活动特别吸引YouTube用户和其他数字内容创作者，表明威胁行为者有意识地针对特定受众。

恶意存档包含功能正常的破解软件和隐藏的恶意软件，使得检测更加困难，因为一些用户会在不知情安装信息窃取器的同时体验到承诺的功能。

技术实现涉及多阶段部署，初始的MSI安装程序提供HijackLoader，随后部署最终的Rhadamanthys有效载荷。

这种分层方法有助于逃避仅分析初始文件而不检查完整感染链的安全解决方案的检测。

通过YouTube幽灵网络分发的大多数恶意软件由信息窃取器组成，旨在将用户凭证、财务信息和其他敏感数据外泄到远程命令与控制服务器。

威胁行为者采用复杂的规避技术，包括密码保护的存档、频繁的有效载荷更新以及每三到四天轮换一次命令与控制基础设施。

这些策略专门针对自动化检测系统和基于声誉的阻止机制，使得传统安全解决方案难以识别和阻止这些活动。

YouTube幽灵网络的成功展示了网络犯罪分子如何通过利用受信任的平台和社会工程技术来适应现代安全环境。

随着传统分发方法变得不那么有效，这些基于平台的方法代表了恶意软件传播的令人担忧的演变，需要安全研究人员、平台运营商和执法机构的协调响应来有效打击。

危害指标