Специалисты по кибербезопасности из Check Point Research выявили на YouTube скоординированную сеть аккаунтов, созданную для распространения вредоносных программ. Эта схема, получившая название YouTube Ghost Network, использует функции видеохостинга для обмана пользователей и распространения вирусов под видом игровых читов и взломанного программного обеспечения.
Принцип работы сети основан на взаимодействии трех типов учетных записей. Video-accounts загружают ролики с демонстрацией нелегального софта и оставляют в описании ссылки. Post-accounts публикуют в сообществе канала посты со ссылками на скачивание и паролями к архивам. Третья группа, Interact-accounts, создает иллюзию доверия, оставляя под видео и постами положительные комментарии и лайки.
Ссылки обычно ведут на файлообменники, где находится защищенный паролем архив. В инструкциях пользователям часто рекомендуют *временно* отключить антивирус, что позволяет вредоносному ПО, чаще всего программам-стилерам для кражи данных, таким как Lumma и Rhadamanthys, установиться в систему.
Основной целью злоумышленников являются геймеры, ищущие читы для популярных игр вроде Roblox, а также пользователи, желающие скачать пиратские версии программ, например, от Adobe. По данным отчета, самое популярное вредоносное видео, посвященное Adobe Photoshop, набрало почти 300 тысяч просмотров.
Исследователи отмечают, что сеть действует как минимум с 2021 года, но в 2025 году ее активность значительно возросла — количество созданных вредоносных видео утроилось. Всего было обнаружено более 3000 роликов. Вся информация была передана в Google, после чего большая часть опасного контента была удалена с платформы.
