【安全圈】3,000 个 YouTube 视频被曝为恶意软件陷阱

关键词

YouTube

一个恶意的 YouTube 网络近期被发现大量发布和推广含有恶意软件下载链接的视频，利用这一视频平台的高人气与用户信任进行恶意传播。

自 2021 年起，该网络已经发布了超过 3,000 个恶意视频，仅今年以来这类视频数量便增长了三倍。Check Point 将其命名为YouTube 幽灵网络（YouTube Ghost Network）。在相关发现后，谷歌已经介入并删除了大部分这些视频。

该行动主要通过入侵的账号实现，将原本的视频内容替换为以盗版软件和 Roblox 游戏外挂为主题的“恶意视频”，从而感染搜索相关内容的用户，传播信息窃取类木马（stealer malware）。部分视频甚至获得了数十万次观看，播放量在 147,000 到 293,000 次之间。

Check Point 安全研究组经理 Eli Smadja 表示：“这个行动利用了平台的信任信号，包括观看量、点赞和评论，让恶意内容看起来安全。一个看似有用的教程实际上可能是精心制作的网络陷阱。该网络的规模、模块化和复杂程度，展示了威胁行为者如何利用平台的互动工具来传播恶意软件。”

长期以来，YouTube 被用于恶意软件传播已非新鲜事。攻击者常常劫持合法频道，或使用新创建的账号发布教程类视频，并在描述中放置恶意链接，用户点击后会下载恶意程序。

这种攻击是更大趋势的一部分：攻击者正在将合法平台重新用于恶意目的，使其成为高效的恶意软件传播途径。有些行动甚至滥用广告网络，例如谷歌或必应关联的广告系统；另一些则利用 GitHub 作为投递载体，例如 Stargazers 幽灵网络。

幽灵网络之所以大规模流行，其中一个主要原因是其角色化结构不仅能够放大分享链接的合法性，还能在账户被封禁后快速替换账户，保持操作连续性。

安全研究员 Antonis Terefos 解释道：“这些账号利用视频、描述、社区帖子和评论等平台功能来推广恶意内容，同时制造虚假的信任感。网络大多数由被入侵的 YouTube 账户组成，一旦加入网络便被分配特定的操作角色。角色化结构让传播更隐蔽，即使账户被封也能迅速替换，不会中断整体行动。”

幽灵网络内的账户大致分为三类：

1. 视频账户：上传钓鱼或恶意视频，在视频描述、置顶评论或视频内容中提供下载链接。

2. 帖子账户：负责在社区发布消息或帖子，其中含有指向外部网站的链接。

3. 互动账户：点赞并发布鼓励性评论，为视频增加可信度。

这些链接通常指向 MediaFire、Dropbox、Google Drive，或托管在 Google Sites、Blogger、Telegraph 上的钓鱼页面，页面上再提供软件下载链接。许多链接使用 URL 缩短服务来掩盖真实目的地。

通过 YouTube 幽灵网络传播的恶意软件包括 Lumma Stealer、Rhadamanthys Stealer、StealC Stealer、RedLine Stealer、Phemedrone Stealer，以及其他基于 Node.js 的加载器和下载器。

例如，频道@Sound_Writer（9,690 订阅者）被入侵一年多，用于上传加密货币相关软件视频，部署 Rhadamanthys；频道@Afonesio1（129,000 订阅者）在 2024 年 12 月 3 日和 2025 年 1 月 5 日被入侵，上传广告破解 Adobe Photoshop 的视频，通过 MSI 安装程序部署 Hijack Loader，进一步交付 Rhadamanthys。

Check Point 表示：“恶意软件传播方式的不断演化展示了威胁行为者在绕过常规安全防护方面的高度适应性和灵活性。攻击者越来越倾向于采用复杂的平台化策略，幽灵网络的部署就是其中最显著的例子。”

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！