Negli ultimi anni, YouTube si è trasformato in uno degli strumenti preferiti dai cybercriminali per la diffusione di malware, sfruttando sia la notorietà della piattaforma che la fiducia degli utenti. Recentemente, gli esperti di sicurezza hanno individuato un'operazione chiamata YouTube Ghost Network, attiva dal 2021, responsabile della pubblicazione di oltre 3000 video malevoli. Questi video, spesso incentrati su software pirata e trucchi per il popolare gioco Roblox, mirano a colpire utenti ignari interessati a queste tematiche, conducendoli al download di stealer malware.

I criminali informatici riescono a compromettere account YouTube legittimi, sostituendo i contenuti originali con video apparentemente innocui ma in realtà pericolosi. Questi video possono vantare centinaia di migliaia di visualizzazioni, grazie a strategie che sfruttano like, commenti e visualizzazioni per simulare affidabilità. Tali segnali di fiducia sono utilizzati come esca, rendendo difficile per l’utente medio distinguere un tutorial reale da una trappola informatica.

Struttura operativa della Ghost Network

La struttura della Ghost Network si basa su una divisione in ruoli operativi: esistono account dedicati al caricamento dei video, altri per la pubblicazione di post nella community contenenti link esterni e altri ancora impegnati a commentare e mettere like ai video per aumentarne la credibilità. In questo modo, anche qualora un account venga bloccato, la rete mantiene la sua operatività, sostituendo rapidamente le risorse compromesse.

I link proposti nei video o nei commenti indirizzano le vittime verso servizi di file sharing come MediaFire, Dropbox o Google Drive, oppure a pagine di phishing ospitate su Google Sites, Blogger e Telegraph. Spesso, i collegamenti sono mascherati da shortener URL per nascondere la vera destinazione e rendere più difficoltoso il rilevamento da parte degli strumenti di sicurezza. Tra le famiglie di malware distribuite tramite questa rete figurano Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer e altri loader basati su Node.js.

La crescente sofisticazione di queste campagne evidenzia come i cybercriminali adottino tattiche sempre più complesse, sfruttando piattaforme legittime e la loro capacità di generare engagement per diffondere malware su larga scala. È fondamentale mantenere alta l’attenzione e verificare sempre la fonte e l’attendibilità dei contenuti online, evitando di scaricare software da link non ufficiali.