Se ha observado que una red maliciosa de cuentas de YouTube publica y promociona videos que conducen a descargas de malware, esencialmente abusando de la popularidad y la confianza asociadas con la plataforma de alojamiento de videos para propagar cargas útiles maliciosas.
Activa desde 2021, la red ha publicado más de 3.000 vídeos maliciosos hasta la fecha, y el volumen de dichos vídeos se ha triplicado desde principios de año. Ha recibido el nombre en clave de Red fantasma de YouTube por Punto de control. Desde entonces, Google intervino para eliminar la mayoría de estos videos.
La campaña aprovecha las cuentas pirateadas y reemplaza su contenido con videos «maliciosos» que se centran en software pirateado y trucos de juegos Roblox para infectar a los usuarios desprevenidos que los buscan con malware ladrón. Algunos de estos vídeos han acumulado cientos de miles de visitas, entre 147.000 y 293.000.
«Esta operación aprovechó las señales de confianza, incluidas vistas, me gusta y comentarios, para hacer que el contenido malicioso pareciera seguro», dijo Eli Smadja, gerente del grupo de investigación de seguridad de Check Point. «Lo que parece un tutorial útil puede ser en realidad una trampa cibernética pulida. La escala, la modularidad y la sofisticación de esta red la convierten en un modelo de cómo los actores de amenazas ahora utilizan herramientas de participación como armas para propagar malware».
El uso de YouTube para la distribución de malware no es un fenómeno nuevo. Durante años, se ha observado que los actores de amenazas secuestran canales legítimos o utilizan cuentas recién creadas para publicar videos estilo tutorial con descripciones que apuntan a enlaces maliciosos que, al hacer clic, conducen a malware.
Estos ataques son parte de una tendencia más amplia en la que los atacantes reutilizan plataformas legítimas para fines nefastos, convirtiéndolas en una vía eficaz para la distribución de malware. Si bien algunas de las campañas han abusado de redes publicitarias legítimas, como las asociadas con motores de búsqueda como Google o Bing, otras han aprovechado GitHub como vehículo de entrega, como en el caso de Stargazers Ghost Network.
Una de las principales razones por las que Ghost Networks ha tenido un gran despegue es que no sólo pueden usarse para amplificar la legitimidad percibida de los enlaces compartidos, sino también para mantener la continuidad operativa incluso cuando los propietarios de la plataforma prohíben o eliminan las cuentas, gracias a su estructura basada en roles.
«Estas cuentas aprovechan varias características de la plataforma, como videos, descripciones, publicaciones (una característica menos conocida de YouTube similar a la publicación de Facebook) y comentarios para promover contenido malicioso y distribuir malware, mientras crean una falsa sensación de confianza», dijo el investigador de seguridad Antonis Terefos.
«La mayor parte de la red consta de cuentas de YouTube comprometidas, a las que, una vez agregadas, se les asignan roles operativos específicos. Esta estructura basada en roles permite una distribución más sigilosa, ya que las cuentas prohibidas pueden reemplazarse rápidamente sin interrumpir la operación general».
Hay tres tipos específicos de cuentas:
- Cuentas de vídeo, que cargan vídeos de phishing y proporcionan descripciones que contienen enlaces para descargar el software anunciado (alternativamente, los enlaces se comparten como un comentario fijado o se proporcionan directamente en el vídeo como parte del proceso de instalación).
- Cuentas de publicaciones, que son responsables de publicar mensajes de la comunidad y publicaciones que contienen enlaces a sitios externos.
- Cuentas interactivas, que dan me gusta y publican comentarios alentadores para darle a los videos una apariencia de confianza y credibilidad.
Los enlaces dirigen a los usuarios a una amplia gama de servicios como MediaFire, Dropbox o Google Drive, o páginas de phishing alojadas en Google Sites, Blogger y Telegraph que, a su vez, incorporan enlaces para descargar el supuesto software. En muchos de estos casos, los enlaces se ocultan mediante acortadores de URL para enmascarar el verdadero destino.
Algunas de las familias de malware distribuidas a través de YouTube Ghost Network incluyen Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer y otros cargadores y descargadores basados en Node.js.
- Un canal llamado @Sound_Writer (9,690 suscriptores), que ha estado comprometido durante más de un año para cargar videos de software de criptomonedas para implementar Rhadamanthys.
- Un canal llamado @Afonesio1 (129.000 suscriptores), que se vio comprometido el 3 de diciembre de 2024 y el 5 de enero de 2025 para cargar un vídeo que anuncia una versión descifrada de Adobe Photoshop para distribuir un instalador MSI que implementa Hijack Loader, que luego entrega Rhadamanthys.
«La continua evolución de los métodos de distribución de malware demuestra la notable adaptabilidad e ingenio de los actores de amenazas para eludir las defensas de seguridad convencionales», afirmó Check Point. «Los adversarios están cambiando cada vez más hacia estrategias más sofisticadas basadas en plataformas, en particular, el despliegue de Ghost Networks».
«Estas redes aprovechan la confianza inherente a las cuentas legítimas y los mecanismos de participación de plataformas populares para orquestar campañas de malware a gran escala, persistentes y altamente efectivas».
