Une vaste campagne de diffusion de malwares exploitant YouTube vient d’être dévoilée, avec plus de 3 000 vidéos piégées publiées depuis 2021. Cette opération malveillante, surnommée « YouTube Ghost Network », repose sur des comptes compromis qui diffusent des contenus frauduleux semblant anodins, comme des logiciels crackés ou encore des astuces Roblox. Cette méthode montre comment des cybercriminels manipulent les plateformes grand public pour diffuser des malwares voleurs de données, échappant ainsi aux mesures de sécurité habituelles.
Une campagne à grande échelle exploitant la notoriété de YouTube
Un réseau actif depuis 2021
Selon les chercheurs cybersécurité de Check Point, la YouTube Ghost Network est active discrètement depuis 2021. En utilisant des comptes YouTube piratés, les cybercriminels remplacent les vidéos légitimes par des tutoriels apparemment utiles, mais qui redirigent vers des liens contenant des logiciels malveillants, hébergés sur des services comme Google Drive, Dropbox ou MediaFire.
Un volume de vidéos en forte augmentation
Depuis le début de l’année, le nombre de vidéos malveillantes a été multiplié par trois. Certaines vidéos ont même atteint plus de 290 000 vues, illustrant l’efficacité de cette technique basée sur le social engineering pour induire les victimes en erreur. En combinant des éléments de confiance comme les « j’aime », les commentaires positifs et le nombre de vues, la campagne passe sous les radars et piège les utilisateurs à la recherche de contenus gratuits.
Une structure organisée et modulaire
Une hiérarchie bien définie au sein du réseau
Les analystes ont identifié une structure rôlée dans la gestion des comptes compromis. On observe trois types de profils :
- Les « vidéo-comptes » : diffusent les vidéos piégées avec des liens de téléchargement (dans les descriptions, les commentaires épinglés ou directement dans la vidéo).
- Les « post-comptes » : publient des messages communautaires avec des liens vers des sites externes frauduleux.
- Les « interact-comptes » : boostent la crédibilité des vidéos par des likes et des commentaires encourageants.
Remplacement rapide des comptes bannis
Cette approche modulaire permet aux opérateurs de la Ghost Network de remplacer rapidement les chaînes bannies sans interrompre la diffusion des malwares. L’ensemble repose sur des compteurs piratés, souvent de taille importante. À titre d’exemple, la chaîne @Afonesio1, avec ses 129 000 abonnés, a été utilisée en décembre 2024 pour propager un fichier MSI malveillant déguisé en Adobe Photoshop cracké.
Des malwares voleurs de données en circulation
Une variété de logiciels malveillants
Les liens proposés dans ces vidéos redirigent vers des chevaux de Troie et des stealers comme Lumma Stealer, RedLine Stealer, StealC Stealer, Rhadamanthys ou encore Phemedrone Stealer. Ces malwares sont capables de voler des informations d’identification, des portefeuilles cryptos ou des données de navigateurs. D’autres payloads en Node.js sont aussi utilisés, souvent déguisés derrière de faux installateurs ou cracks logiciels.
Méthodes de dissimulation avancées
Pour éviter la détection, les cybercriminels utilisent des réducteurs d’URL afin de masquer les véritables destinations des liens. Ils s’appuient aussi sur des plateformes légitimes comme Google Sites, Blogger ou Telegraph pour héberger les fausses pages de téléchargement, renforçant encore l’aspect trompeur de la campagne. Cette tactique joue un rôle crucial dans l’obfuscation de la chaîne d’infection.
Un signal d’alerte pour les internautes et les professionnels
YouTube, vecteur croissant des cybermenaces
Cette campagne s’inscrit dans une tendance plus large : l’exploitation de plateformes de confiance pour la diffusion de malwares. YouTube, grâce à sa portée et son interaction avec les utilisateurs, devient un vecteur idéal pour des attaques ciblées et massives à l’échelle mondiale.
Se former pour mieux repérer les cyberattaques
La sophistication de ces techniques illustre la montée en puissance des attaques hybrides, mêlant ingénierie sociale, usurpation d’identité et hébergement décentralisé. Pour se protéger efficacement, se former au fonctionnement des outils de hacking est essentiel. C’est dans cette logique que CyberCare propose un livre pour hacker : une ressource pédagogique qui explique comment les attaques sont conçues, permettant d’apprendre à hacker afin de mieux s’en défendre.
Face à ces opérations sophistiquées, CyberCare accompagne ses clients avec des services de surveillance, d’analyse de menaces et de sécurisation proactive des comptes pour limiter les risques d’exposition aux campagnes telles que la YouTube Ghost Network.
