Se ha observado que una red malintencionada de cuentas de YouTube publica y promociona vídeos que conducen a descargas de malware, básicamente abusando de la popularidad y la confianza asociadas a la plataforma de alojamiento de vídeos para propagar cargas maliciosas.
Activa desde 2021, la red ha publicado más de 3000 vídeos maliciosos hasta la fecha, y el volumen de dichos vídeos se ha triplicado desde principios de año. Su nombre en código es Red fantasma de YouTube de Check Point. Desde entonces, Google ha intervenido para eliminar la mayoría de estos vídeos.
La campaña aprovecha las cuentas pirateadas y reemplaza su contenido por vídeos «maliciosos» que se centran en software pirateado y trucos de juegos de Roblox para infectar a los usuarios desprevenidos que las buscan con malware robador. Algunos de estos vídeos han acumulado cientos de miles de reproducciones, que oscilan entre 147 000 y 293 000.
«Esta operación aprovechó las señales de confianza, incluidas las vistas, los me gusta y los comentarios, para hacer que el contenido malicioso pareciera seguro», dijo Eli Smadja, gerente del grupo de investigación de seguridad de Check Point. «Lo que parece un tutorial útil puede, en realidad, ser una trampa cibernética refinada. La escala, la modularidad y la sofisticación de esta red la convierten en un modelo de cómo los actores de amenazas utilizan ahora las herramientas de combate como armas para propagar el malware».
El uso de YouTube para la distribución de malware no es un fenómeno nuevo. Durante años, los actores de amenazas han sido observado secuestro canales legítimos o usar cuentas recién creadas para publicar vídeos tipo tutorial con descripciones que apuntan a enlaces maliciosos que, cuando se hace clic en ellos, conducen al malware.
Estos ataques forman parte de una tendencia más amplia en la que los atacantes reutilizan plataformas legítimas con fines nefastos, convirtiéndolas en una vía eficaz para la distribución de malware. Si bien algunas de las campañas han abusado de redes publicitarias legítimas, como las asociadas a motores de búsqueda como Google o Bing, otras han aprovechado GitHub como medio de distribución, como es el caso de Red fantasma de Stargazers .
Una de las principales razones por las que Ghost Networks ha tenido un gran éxito es que no solo se pueden utilizar para amplificar la legitimidad percibida de los enlaces compartidos, sino también para mantener la continuidad operativa incluso cuando los propietarios de la plataforma prohíben o eliminan las cuentas, gracias a su estructura basada en roles.
«Estas cuentas aprovechan varias funciones de la plataforma, como vídeos, descripciones, publicaciones (una función de YouTube menos conocida, similar a la publicación de Facebook) y comentarios para promover contenido malicioso y distribuir malware, al tiempo que crean una falsa sensación de confianza», afirma el investigador de seguridad Antonis Terefos.
«La mayor parte de la red está formada por cuentas de YouTube comprometidas a las que, una vez añadidas, se les asignan funciones operativas específicas. Esta estructura basada en roles permite una distribución más sigilosa, ya que las cuentas prohibidas se pueden reemplazar rápidamente sin interrumpir el funcionamiento general».
Hay tipos específicos de cuentas -
- Cuentas de vídeo, que suben vídeos de suplantación de identidad y proporcionan descripciones que contienen enlaces para descargar el software anunciado (como alternativa, los enlaces se comparten como un comentario anclado o se proporcionan directamente en el vídeo como parte del proceso de instalación)
- Cuentas POST, que se encargan de publicar los mensajes de la comunidad y las publicaciones que contienen enlaces a sitios externos
- Cuentas de Interact, que dan me gusta y publican comentarios alentadores para dar a los vídeos una apariencia de confianza y credibilidad
Los enlaces dirigen a los usuarios a una amplia gama de servicios como MediaFire, Dropbox o Google Drive, o a páginas de suplantación de identidad alojadas en Google Sites, Blogger y Telegraph que, a su vez, incorporan enlaces para descargar el supuesto software. En muchos de estos casos, los enlaces se ocultan mediante acortadores de URL para enmascarar el verdadero destino.
Algunas de las familias de malware distribuidas a través de YouTube Ghost Network incluyen: Ladrón de luma , El ladrón de Radamantis , StealC Stealer , RedLine Stealer , Ladrón de femedrones , y otros cargadores y descargadores basados en Node.js -
- Un canal llamado @Sound_Writer (9.690 suscriptores), que ha estado comprometido durante más de un año para subir vídeos de software de criptomonedas para implementar Rhadamanthys
- Un canal llamado @Afonesio1 (129 000 suscriptores), que se vio comprometido el 3 de diciembre de 2024 y el 5 de enero de 2025, para subir un vídeo anunciando una versión crackeada de Adobe Photoshop para distribuir un instalador de MSI que implementa Cargador Hijack , que luego entrega Rhadamanthys
«La evolución continua de los métodos de distribución de malware demuestra la notable adaptabilidad e ingenio de los actores de amenazas a la hora de eludir las defensas de seguridad convencionales», afirma Check Point. «Los adversarios están optando cada vez más por estrategias más sofisticadas y basadas en plataformas, entre las que destaca el despliegue de Ghost Networks».
«Estas redes aprovechan la confianza inherente a las cuentas legítimas y los mecanismos de participación de las plataformas populares para organizar campañas de malware a gran escala, persistentes y altamente eficaces».