Laaja haittaohjelmien levitysoperaatio käytti hyväkseen videoalusta YouTubea täysin näkyvästi.
YouTubessa ollut niin sanottu ”varjoverkosto” (YouTube Ghost Network) käytti väärennettyjä ja kaapattuja tilejä levittääkseen tietoja varastavia haittaohjelmia, kuten Rhadamanthys ja Lumma. Ne naamioitiin muun muassa murretuiksi ohjelmiksi ja pelihuijauksiksi, joissa jaettiin ”asennusvideoita” tai ohjeita.
Check Point Research CPR:n tutkimuksen seurauksena alustalta poistettiin yli 3000 haitallista videota. Kyseessä oli yksi YouTuben historian laajimmista haittaohjelmien jakeluverkostoista. Check Point kartoitti varjoverkostoa useiden kuukausien ajan ja teki tiivistä yhteistyötä Googlen kanssa.
– Hyökkäys käytti hyväkseen luottamusta herättäviä signaaleja, kuten katselukertoja, tykkäyksiä ja positiivisia kommentteja, jotta haitallinen sisältö näyttäisi aidolta. Se, mikä näyttää hyödylliseltä tutoriaalilta, voikin olla taitavasti naamioitu kyberansa. Verkoston laajuus, modulaarinen rakenne ja sofistikoituneisuus ovat esimerkkejä siitä, kuinka uhkatoimijat nykyään hyödyntävät alustan vuorovaikutustoimintoja haittaohjelmien levitykseen, Security Research Group Manager Eli Smadja Check Point Software Technologiesilta sanoo tiedotteessa.
Yli 3 000 haittavideota poistettiin CPR:n raportoitua niistä. Houkuttimina käytettiin murrettuja ohjelmia (kuten Photoshop, Office) ja Roblox-pelihuijauksia. Videotilit julkaisivat ”ohjevideoita”, joissa oli linkkejä ilmaisiin ohjelmiin. Uhrit houkuteltiin poistamaan virustorjuntaohjelma ennen salasanasuojatun haittaohjelman asentamista.
Yhdellä kaapatulla YouTube-kanavalla oli yli 129000 tilaajaa, ja videoita oli katsottu lähes 300000 kertaa.
Kyberrikolliset hyödyntävät CPR:n mukaan nyt sosiaalista uskottavuutta hyökkäyskeinona. Väärennetyt signaalit – tykkäykset, kommentit ja tilaajamäärät – luovat näennäisen turvallisuuden tunteen, joka auttaa rikollisia ohittamaan käyttäjien epäluulon.
– Nykyisessä uhkaympäristössä suosittu video voi olla yhtä vaarallinen kuin tietojenkalasteluviesti. Tämä tapaus osoittaa, että edes luotetut alustat eivät ole suojassa hyökkäysten aseeksi joutumiselta. Samalla se osoittaa, että yhteistyöllä ja oikealla uhkatiedolla voidaan torjua uhkia, Smadja toteaa.
