悪意のあるYouTubeアカウントのネットワークが、マルウェアのダウンロードにつながる動画を公開・宣伝していることが確認されており、動画ホスティングプラットフォームの人気と信頼を悪用して悪質なペイロードを拡散しています。
2021年から活動しているこのネットワークは、これまでに3,000本以上の悪意ある動画を公開しており、今年に入ってからその数は3倍に増加しています。Check PointによってYouTubeゴーストネットワークと名付けられました。Googleはその後、これらの動画の大部分を削除しました。
このキャンペーンはハッキングされたアカウントを利用し、そのコンテンツを「悪意のある」動画に差し替えています。これらの動画は主に海賊版ソフトウェアやRobloxのゲームチートに関するもので、それを探しているユーザーをスティーラーマルウェアに感染させます。これらの動画の中には、14万7千回から29万3千回もの再生回数を記録しているものもあります。
「この作戦は、再生回数、いいね、コメントなどの信頼シグナルを利用し、悪意のあるコンテンツを安全に見せかけていました」とCheck Pointのセキュリティリサーチグループマネージャー、Eli Smadja氏は述べています。「一見役立つチュートリアルのように見えるものが、実は巧妙に作られたサイバーの罠なのです。このネットワークの規模、モジュール性、そして高度な手口は、脅威アクターがどのようにエンゲージメントツールを武器化してマルウェアを拡散しているかの手本となっています。」
YouTubeを使ったマルウェア配布は新しい現象ではありません。長年にわたり、脅威アクターは正規チャンネルの乗っ取りや、新規アカウントの利用、チュートリアル風の動画の公開、説明欄に悪意のあるリンクを記載し、クリックするとマルウェアに誘導する手口が観測されてきました。
これらの攻撃は、攻撃者が正規のプラットフォームを悪用して悪事を働くという、より広範な傾向の一部です。これにより、マルウェア配布の有効な手段となっています。一部のキャンペーンではGoogleやBingなど検索エンジンと関連する正規の広告ネットワークが悪用され、また別のケースではGitHubが配布手段として利用されたStargazers Ghost Networkもあります。
ゴーストネットワークが大きく拡大した主な理由の一つは、共有されたリンクの信頼性を高めるだけでなく、アカウントがプラットフォーム運営者によって停止・削除されても、役割分担型の構造により運用を継続できる点にあります。
「これらのアカウントは、動画、説明、投稿(Facebookの投稿に似たYouTubeのあまり知られていない機能)、コメントなど、さまざまなプラットフォーム機能を利用して悪意のあるコンテンツを宣伝し、マルウェアを配布し、偽りの信頼感を生み出しています」とセキュリティ研究者のAntonis Terefos氏は述べています。
「ネットワークの大部分は侵害されたYouTubeアカウントで構成されており、追加されると特定の運用役割が割り当てられます。この役割分担型構造により、停止されたアカウントも迅速に置き換えることができ、全体の運用に支障をきたしません。」
特定の種類のアカウントがあります –
- ビデオアカウント:フィッシング動画をアップロードし、宣伝されているソフトウェアのダウンロードリンクを説明欄に記載(または、リンクを固定コメントやインストール手順の一部として動画内に直接掲載)
- ポストアカウント:外部サイトへのリンクを含むコミュニティメッセージや投稿の公開を担当
- インタラクトアカウント:動画に信頼性や信用を持たせるために、いいねや励ましのコメントを投稿
これらのリンクは、MediaFire、Dropbox、Google Driveなどのさまざまなサービスや、Google Sites、Blogger、Telegraph上にホストされたフィッシングページに誘導し、そこからソフトウェアのダウンロードリンクが組み込まれています。多くの場合、URL短縮サービスを使ってリンクの本当の行き先を隠しています。
YouTubeゴーストネットワークを通じて配布されているマルウェアファミリーには、Lumma Stealer、Rhadamanthys Stealer、StealC Stealer、RedLine Stealer、Phemedrone Stealer、その他Node.jsベースのローダーやダウンローダーなどがあります –
- @Sound_Writer(登録者9,690人)というチャンネルは、1年以上にわたり侵害され、仮想通貨ソフトウェアの動画をアップロードしてRhadamanthysを配布
- @Afonesio1(登録者129,000人)というチャンネルは、2024年12月3日と2025年1月5日に侵害され、Adobe Photoshopのクラック版を宣伝する動画をアップロードし、MSIインストーラーを配布してHijack Loaderを展開、その後Rhadamanthysを配布
「マルウェア配布手法の進化は、脅威アクターが従来のセキュリティ防御を回避するための驚くべき適応力と創造性を示しています」とCheck Pointは述べています。「攻撃者はますます高度でプラットフォームベースの戦略、特にゴーストネットワークの展開へとシフトしています。」
「これらのネットワークは、正規アカウントに内在する信頼性と人気プラットフォームのエンゲージメント機能を活用し、大規模で持続的、かつ非常に効果的なマルウェアキャンペーンを組織しています。」
翻訳元: https://thehackernews.com/2025/10/3000-youtube-videos-exposed-as-malware.html
