Check Point Research (CPR), la divisione di Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha scoperto e smantellato una vasta rete di distribuzione di malware nascosta su YouTube, denominata YouTube Ghost Network. L’indagine ha portato alla rimozione di oltre 3.000 video dannosi, ed ha interrotto una delle operazioni di diffusione malware più imponenti mai identificate sulla piattaforma.
L’operazione sfruttava account falsi o compromessi per caricare video che promuovevano software crackati o cheat per videogiochi, inducendo gli utenti a scaricare file infetti contenenti infostealer come Rhadamanthys e Lumma. Dietro la parvenza di normali tutorial, si celava un sistema organizzato e modulare che utilizzava anche post e commenti fasulli per costruire una rete di fiducia artificiale e convincere le vittime a disattivare i propri antivirus.
Ogni categoria di account aveva un compito preciso: i video account caricavano i contenuti con i link malevoli, i post account diffondevano password e link aggiornati, mentre gli account di interazione amplificavano l’apparenza di legittimità con commenti e like positivi. Questa struttura gerarchica permetteva al network di rigenerarsi dopo ogni rimozione, mantenendo vivo il ciclo delle infezioni.
Le esche utilizzate spaziavano da Adobe Photoshop e FL Studio a Microsoft Office, fino a hack per giochi come Roblox, offrendo presunti software “gratuiti” o versioni pirata. Una volta eseguiti, i file rubavano credenziali, portafogli crypto e dati di sistema, inviandoli a server che cambiavano frequentemente indirizzo per sfuggire al rilevamento.
Tra i casi documentati, un canale con 129.000 iscritti ha pubblicato un falso installer di Adobe Photoshop che ha totalizzato oltre 290.000 visualizzazioni. In un altro episodio, un canale compromesso ha reindirizzato gli utenti verso pagine di phishing su Google Sites, utilizzate per diffondere Rhadamanthys Stealer.
Dopo un monitoraggio durato oltre un anno, Check Point Research ha mappato migliaia di account e collaborato con Google per la rimozione coordinata dei contenuti malevoli. L’intervento ha bloccato una catena di infezione globale e contribuito a ripristinare la sicurezza di una piattaforma usata quotidianamente da miliardi di persone.
Questa operazione evidenzia una tendenza crescente: l’ingegneria sociale basata sulla fiducia digitale. I criminali informatici non si limitano più a falsificare e-mail o siti web, ma sfruttano meccanismi sociali come like, commenti e interazioni reali per rendere le proprie trappole credibili. È la fiducia, non la tecnologia, il vero obiettivo dell’attacco.
Per difendersi, Check Point Research raccomanda di evitare software pirata, non disattivare mai le protezioni antivirus su richiesta di installatori sospetti e diffidare dei video che promettono versioni gratuite di programmi a pagamento. Alle piattaforme, CPR suggerisce di rafforzare i sistemi di rilevamento dei pattern di engagement sospetti e di potenziare la collaborazione con i ricercatori di sicurezza per un’azione preventiva.
Le soluzioni Check Point Threat Emulation e Harmony Endpoint già proteggono gli utenti da Rhadamanthys, Lumma e da altri infostealer legati a questa campagna.
La vicenda di YouTube Ghost Network dimostra che la fiducia può essere manipolata tanto facilmente quanto un algoritmo, ma anche che la cooperazione tra industria e sicurezza può disinnescare l’inganno prima che si trasformi in danno.
