YouTubessa ollut niin sanottu ”varjoverkosto” (YouTube Ghost Network) käytti väärennettyjä ja kaapattuja YouTube-tilejä levittääkseen tietoja varastavia haittaohjelmia, kuten Rhadamanthys ja Lumma. Ne naamioitiin mm. murretuiksi ohjelmiksi ja pelihuijauksiksi, joissa jaettiin ”asennusvideoita” tai ohjeita.

CPR:n tutkimuksen seurauksena alustalta poistettiin yli 3 000 haitallista videota. Kyseessä on yksi YouTuben historian laajimmista haittaohjelmien jakeluverkostoista.

- Hyökkäys käytti hyväkseen luottamusta herättäviä signaaleja, kuten katselukertoja, tykkäyksiä ja positiivisia kommentteja, jotta haitallinen sisältö näyttäisi aidolta. Se, mikä näyttää hyödylliseltä tutoriaalilta, voikin olla taitavasti naamioitu kyberansa. Verkoston laajuus, modulaarinen rakenne ja sofistikoituneisuus ovat esimerkkejä siitä, kuinka uhkatoimijat nykyään hyödyntävät alustan vuorovaikutustoimintoja haittaohjelmien levitykseen, sanoo Eli Smadja Check Point Software Technologiesilta.

Keskeiset havainnot:

• Yli 3 000 haittavideota poistettiin CPR:n raportoitua niistä.
• Houkuttimina käytettiin murrettuja ohjelmia (kuten Photoshop, Office) ja Roblox-pelihuijauksia.
• Uhrit houkuteltiin poistamaan virustorjuntaohjelma ennen salasanasuojatun haittaohjelman asentamista.
• Verkosto käytti modulaarista tiliverkostoa, jossa roolit oli jaettu eri tileille: lataajat, kommentoijat ja linkkien jakajat.
• Haittaohjelmat keräsivät tunnuksia, kryptolompakoita ja järjestelmätietoja ja lähettivät ne kiertäville komentopalvelimille (C2).
• Yhdellä kaapatulla YouTube-kanavalla oli yli 129 000 tilaajaa, ja videoita oli katsottu lähes 300 000 kertaa.

Miten YouTube Ghost Network toimi?

Operaation ytimessä oli modulaarinen tiliverkosto, jossa eri tileillä oli selkeä rooli:

• Videotilit julkaisivat ”ohjevideoita”, joissa oli linkkejä ilmaisiin ohjelmiin.
• Postaustilit jakoivat yhteisöpostauksia, joissa oli päivitetyt salasanat ja haittalinkit.
• Kommenttitilit täyttivät kommenttiosiot tekaistuilla kehuilla, jotka rakensivat valheellista luottamusta.

Tämä kerroksellinen lähestymistapa mahdollisti jatkuvat tartuntaketjut ja sai sisällön näyttämään aidolta, vaikka yksittäisiä videoita poistettiin.

Kyberrikolliset hyödyntävät nyt sosiaalista uskottavuutta hyökkäyskeinona.

Väärennetyt signaalit – tykkäykset, kommentit ja tilaajamäärät – luovat näennäisen turvallisuuden tunteen, joka auttaa rikollisia ohittamaan käyttäjien epäluulon.

- Nykyisessä uhkaympäristössä suosittu video voi olla yhtä vaarallinen kuin tietojenkalasteluviesti. Tämä tapaus osoittaa, että edes luotetut alustat eivät ole suojassa hyökkäysten aseeksi joutumiselta. Samalla se osoittaa, että yhteistyöllä ja oikealla uhkatiedolla voidaan torjua uhkia, Smadja toteaa.

Tutustu koko tutkimusraporttiin liitteenä ja Check Pointin sivustolla:

https://research.checkpoint.com/2025/youtube-ghost-network/