Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Réseau fantôme de YouTube

Réseau fantôme de YouTube

Par Mezo en Logiciels malveillants
Se traduisent par :

Un groupe de comptes YouTube malveillants exploite la popularité de la plateforme pour diffuser des logiciels malveillants auprès d'utilisateurs peu méfiants. En imitant des tutoriels et des contenus de piratage de logiciels légitimes et en s'appuyant sur les indicateurs d'engagement, ces acteurs transforment des vidéos apparemment utiles en vecteurs d'infection.

Une opération en pleine croissance et de longue durée

Active depuis 2021, la campagne, désormais surnommée YouTube Ghost Network par les chercheurs en sécurité, a mis en ligne plus de 3 000 vidéos malveillantes. Le volume a explosé cette année, triplant quasiment, ce qui a contraint Google à supprimer la majeure partie du contenu incriminé. Malgré les retraits, l'ampleur et la modularité de l'opération lui permettent de se régénérer rapidement.

Comment fonctionne le système : la confiance comme arme

Les attaquants détournent des chaînes légitimes ou en créent de nouvelles, remplaçant ou mettant en ligne des vidéos faisant la promotion d'applications piratées, de codes de triche (notamment pour Roblox) ou de logiciels piratés. Ces vidéos se présentent souvent comme des tutoriels soignés et utilisent des signaux de confiance visibles, un nombre élevé de vues, des mentions « J'aime » et des commentaires positifs pour convaincre les spectateurs de la sécurité du contenu. De nombreuses vidéos infectées ont cumulé des centaines de milliers de vues (environ 147 000 à 293 000 vues), ce qui rend le leurre particulièrement efficace.

Une infrastructure résiliente et basée sur les rôles

La force du réseau réside dans sa structure axée sur les rôles : les comptes compromis se voient attribuer des tâches opérationnelles spécifiques, ce qui permet à la campagne de se poursuivre même lorsque des comptes individuels sont bannis. Cette architecture contribue à assurer la continuité et complique la remédiation.

Les types de comptes observés comprennent :

Comptes vidéo : téléchargez des vidéos d'appât et placez des liens de téléchargement dans les descriptions, les commentaires épinglés ou intégrés dans la présentation vidéo.

Comptes de publication : publiez des publications ou des messages communautaires qui renvoient vers des pages externes.

Comptes Interact : ajoutez des mentions « J’aime » et des commentaires encourageants pour créer une preuve sociale et une légitimité.

Chaîne de livraison : où mènent les maillons

Les liens cliquables dans les descriptions de vidéos, les commentaires et les publications redirigent les utilisateurs vers des services d'hébergement de fichiers (MediaFire, Dropbox, Google Drive) ou vers des pages d'hameçonnage/d'atterrissage hébergées sur des plateformes gratuites (Google Sites, Blogger, Telegraph). Ces destinations utilisent fréquemment des raccourcisseurs d'URL pour masquer la cible finale, qui renvoie souvent vers des pages supplémentaires proposant des programmes d'installation ou de chargement.

Familles de logiciels malveillants et chargeurs observés

Les chercheurs ont lié le réseau à plusieurs familles de voleurs d'informations et à des chargeurs et téléchargeurs basés sur Node.js, tels que :

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer, ainsi que divers chargeurs Node.js.

Exemples concrets d’abus

Une chaîne appelée @Sound_Writer (environ 9 690 abonnés) a été compromise pendant plus d'un an et utilisée pour héberger des vidéos liées à la cryptomonnaie qui déployaient Rhadamanthys.

La chaîne nommée @Afonesio1 (environ 129 000 abonnés) a été piratée le 3 décembre 2024 et à nouveau le 5 janvier 2025 pour publier une vidéo proposant un Adobe Photoshop cracké ; le MSI distribué a livré Hijack Loader, qui à son tour a installé Rhadamanthys.

Pourquoi les réseaux fantômes fonctionnent si bien

Ces campagnes réussissent car elles réutilisent les outils d'engagement de la plateforme pour signaler sa légitimité. La configuration basée sur les rôles permet un remplacement rapide des comptes et un faible taux de désabonnement. Ainsi, même lorsque les propriétaires de la plateforme suppriment du contenu, la campagne globale survit. Les réseaux fantômes illustrent clairement la façon dont les acteurs malveillants s'adaptent en instrumentalisant les signaux sociaux et les fonctionnalités de la plateforme.

Une tendance plus large : les plateformes comme canaux de diffusion

YouTube n'est pas le seul à être victime d'abus : les attaquants utilisent depuis longtemps des comptes piratés ou nouvellement créés pour publier du contenu de type tutoriel qui redirige les victimes vers des liens malveillants. D'autres services et réseaux publicitaires légitimes (moteurs de recherche, hébergeurs de fichiers, sites d'hébergement de code comme GitHub) ont également été victimes d'abus dans le cadre de chaînes de distribution distribuées (par exemple, le modèle associé de Stargazers Ghost Network).

Ce que les équipes de sécurité et les utilisateurs devraient faire

Mesures pratiques pour réduire les risques :

  • Considérez les logiciels « crackés » non sollicités et les téléchargements de triche comme à haut risque ; préférez les sites des fournisseurs et les magasins officiels.
  • Vérifiez les liens extérieurs à la plateforme avant de télécharger ; évitez de suivre des URL raccourcies sans vérifier leur destination.
  • Renforcez la détection des familles de voleurs et des chargeurs Node.js aux niveaux du réseau et des points de terminaison ; surveillez les comportements de téléchargement suspects provenant d'hébergeurs de fichiers courants.
  • Apprenez aux utilisateurs à se méfier des indices de preuve sociale (vues, mentions « J’aime », commentaires) lorsqu’ils accompagnent les téléchargements de logiciels.
  • Corrigez les chaînes compromises en recherchant les téléchargements inhabituels et les informations d'identification rotatives, et appliquez l'authentification multifacteur pour les créateurs.

Note de clôture

Le réseau fantôme YouTube illustre l'habileté des attaquants modernes à combiner ingénierie sociale et mécanismes de plateforme. L'opération exploitant des signaux de confiance et une structure de compte modulaire, les défenseurs doivent combiner formation des utilisateurs, vigilance de la plateforme et contrôles techniques pour interrompre la chaîne de diffusion et réduire la surface de menace.

Tendance

AVERTISSEMENT : Arnaque à la fuite de ressources...

Hameçonnage, Courrier indésirable
Des chercheurs en cybersécurité ont identifié une fraude appelée « AVERTISSEMENT : FUITE DE RESSOURCES SYSTÈME », qui utilise de fausses alertes système pour tromper les utilisateurs. Bien que la page à l'origine de cette fraude fasse la promotion d'une application légitime, sa méthode de diffusion, basée sur la peur, est trompeuse et conçue pour inciter les utilisateurs à agir par...

Le plus regardé

Chargement...