Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli specialisti di Google hanno rimosso da YouTube oltre 3.000 video che diffondevano informazioni nascoste mascherate da software hackerato e trucchi per videogiochi. I ricercatori di Check Point hanno soprannominato questa campagna ” YouTube Ghost Network” e hanno riferito che era attiva dal 2021, con un forte aumento nel 2025, quando il numero di video dannosi è triplicato.
Secondo i ricercatori, gli autori di questi attacchi hanno dirottato account YouTube legittimi e, sfruttando le loro identità, hanno pubblicato tutorial che promettevano versioni pirata gratuite di Photoshop e FL Studio, oltre a trucchi e hack per Roblox. Invece del software promesso, le vittime hanno ricevuto gli infostealer Rhadamanthys e Lumma, che hanno rubato credenziali e portafogli crittografici.
La rete fantasma di YouTube si avvaleva di migliaia di account falsi e compromessi che operavano in sinergia. Alcuni account pubblicavano video con link dannosi, altri manipolavano i “Mi piace” e i commenti per creare l’illusione di attività, e altri ancora condividevano link a questi video tramite la funzione “Community” di YouTube.
“Questa campagna ha sfruttato i segnali di fiducia (visualizzazioni, Mi piace, commenti) per far apparire sicuri i contenuti dannosi”, spiegano i ricercatori di Check Point. “Quello che sembrava un tutorial utile si è rivelato una trappola informatica accuratamente congegnata”.
Agli utenti caduti nella trappola dei truffatori veniva chiesto di disattivare il software antivirus e di scaricare un archivio da Dropbox, Google Drive o MediaFire. Invece del software previsto, l’archivio conteneva un malware che, una volta avviato, rubava i dati della vittima e li trasmetteva ai server degli hacker.
I ricercatori segnalano che un canale hackerato con 129.000 iscritti ha pubblicato un video che promuoveva una versione hackerata di Adobe Photoshop, ottenendo quasi 300.000 visualizzazioni e oltre 1.000 “Mi piace”. Un altro canale ha preso di mira gli utenti di criptovalute, reindirizzandoli a pagine di phishing su Google Sites.
L’esca più popolare di YouTube Ghost Network erano i trucchi di Roblox, ma erano popolari anche i video con versioni hackerate di Microsoft Office, Lightroom e strumenti Adobe. Si noti che gli operatori di questa campagna hanno modificato regolarmente i payload e aggiornato i link, anticipando l’eliminazione di video e account e creando un ecosistema resiliente in grado di riprendersi rapidamente in caso di blocco dell’account.
La struttura modulare della rete, con uploader, commentatori e distributori di link, ha permesso alla YouTube Ghost Network di sopravvivere per anni. Check Point nota somiglianze tra questa campagna e la Stargazers Ghost Network, scoperta su GitHub lo scorso anno. Questo servizio utilizza migliaia di account di sviluppatori falsi per ospitare repository dannosi.
“Nel panorama delle minacce odierno, un video popolare può essere pericoloso quanto un’email di phishing”, affermano gli esperti. “Questo evidenzia che anche le piattaforme affidabili non sono immuni agli abusi”.
