נחשפה "רשת הרפאים של יוטיוב"

חוקרי צ'ק פוינט חשפו באחרונה רשת סייבר רחבת היקף, שהסתתרה באחת מהפינות האמינות ביותר של האינטרנט – יוטיוב. במסגרת המבצע שלהם, שכונה "YouTube Ghost Network", "רשת הרפאים של יוטיוב", הם הוכיחו שההאקרים מנצלים את אתר הסרטונים התמים להפעלת רשת מתוחכמת להפצת נוזקות. החברה חשפה את המחקר היום (ה').

החוקרים עקבו אחרי הפעילות במשך יותר משנה, ומיפו אלפי חשבונות וקמפיינים מקושרים. בשיתוף פעולה עם גוגל, הבעלים של יוטיוב, הוסרו יותר מ-3,000 סרטונים זדוניים.

במסגרת המבצע נעשה שימוש בחשבונות מזויפים ופרוצים ביוטיוב כדי להפיץ נוזקות מסוג Rhadamanthys ו-Lumma, לרוב במסווה של תוכנות פרוצות או האקים למשחקים. באמצעות אותם תוכנות והאקים, החוקרים פיתו קורבנות להוריד קבצים דחוסים ומוגני סיסמה, שכללו נוזקות.

אינפוגרפיקה שמציגה את אופן הפעולה של הרשת. צילום: מתוך המחקר

כך פעלה "רשת הרפאים של יוטיוב"

חוקרי צ'ק פוינט חשפו איך ההאקרים ניצלו קטגוריות שאנשים מחפשים – "פריצות משחקים" ו-"גרסאות פרוצות" של תוכנות פופולריות – כדי להפנות קורבנות לארכיונים מוגנים בסיסמה, שמכילים תוכנות מסוג infostealer. הקורבנות הונחו להוריד את התוכנות, לכבות זמנית הגנת אנטי וירוס ולהריץ אותן – ובאותו הרגע, המחשב הפך להיות לא רק "חולק תוכנה", אלא מעביר סיסמאות, ארנקי קריפטו ומידע מערכת לשרתי פיקוד ובקרה, שמשתנים לעתים קרובות.

הקורבנות התבקשו להוריד קובץ מארכיון בדרופבוקס, גוגל דרייב או ‏MediaFire, אז להשבית זמנית את Windows Defender ולאחר מכן להתקין את מה שתואר כתוכנה לגיטימית – אך בפועל היא נוזקה. לאחר שהנוזקות הופעלו, הן גנבו סיסמאות, ארנקי קריפטו ומידע מערכת לשרתי פיקוד ושליטה, שהוחלפו אחת לכמה ימים, כדי להתחמק מזיהוי.

הרשת שנחשפה אינה אוסף אקראי של סרטונים זדוניים, אלא מערכת מתואמת של חשבונות מזויפים, או פרוצים, שתוכננה להיראות מהימנה. לכל סוג חשבון יש תפקיד מוגדר: לחשבונות וידיאו ההאקרים מעלים סרטוני הדרכה שכוללים קישורים להורדת קבצים זדוניים; בחשבונות פוסטים הם מפרסמים פוסטים קהילתיים עם סיסמאות וקישורים מעודכנים; בלחשבונות אינטראקציה – מוסיפים תגובות חיוביות ולייקים, כדי לגרום לסרטונים להיראות בטוחים.

סרטון שהציג הורדה "חינמית" של "פוטושופ". צילום: מתוך המחקר

מבנה מודולרי זה, הסבירו חוקרי צ'ק פוינט, מאפשר לרשת לצמוח במהירות ולהתאושש גם לאחר חסימות – מה שמקשה על מאמצי ההסרה. הסרטונים הציגו לכאורה הורדות "חינמיות" של תוכנות כגון פוטושופ, FL Studio ו-Microsoft Office, או "פריצות" למשחקים פופולריים כמו רובלוקס.

באחד המקרים, ערוץ יוטיוב שנפרץ, שיש לו יותר מ־129 אלף מנויים, פרסם גרסה "פרוצה" של פוטושופ, שהגיעה לכמעט 300 אלף צפיות וזכתה לאלפי תגובות מפרגנות, רובן מזויפות – כדי ליצור תחושת אמינות. ערוץ אחר כיוון לקהילת הקריפטו והפנה את המשתמשים לאתרי פישינג ב-Google Sites, שאירחו את נוזקת Rhadamanthys. התוקפים עדכנו באופן קבוע את הקישורים והקבצים – מה שאפשר להם להמשיך להפיץ את הנוזקות גם לאחר הסרות חלקיות.

אחד מערוצי היוטיוב שהרשת פרצה אליהם. צילום: מתוך המחקר

ההאקרים לא היו שלוחי מדינה

בצ'ק פוינט ציינו שהרשת פעילה מאז 2021, עם מספר ממוצע קבוע של סרטונים שהיא מפרסמת בשנה. השנה, ב-2025, היקף הסרטונים שולש – "מה שמדגיש את היעילות הגוברת של שיטת הפצה זו". הסרטון ש-"רשת הרפאים של יוטיוב" הפיצה שזכה לצפיות הרבות ביותר – 293 אלף – כוון לפוטושופ, והשני בהיקפו, עם 147 אלף צפיות – לצפיות ב-FL Studio.

יצוין שהחוקרים לא הצליחו לזהות את המדינה ממנה הגיעו עורכי המבצע. להערכתם, המבצע אינו מדינתי.

"רשת הרפאים של יוטיוב – שינוי באסטרטגיה של ההאקרים"

"בשנים האחרונות, שחקני איומים מוצאים בלא הרף דרכים חדשות ויעילות להפצת נוזקות", כתבו החוקרים של ענקית הגנת הסייבר הישראלית. "המייל אמנם נותר אחד מווקטורי ההדבקה הבולטים ביותר, אבל ניטור נרחב על ידי פתרונות אבטחה ומודעות משתמשים משופרת צמצמו את יעילותו. כתוצאה מכך, התוקפים חיפשו דרכים חדשות להגיע לקורבנות שלהם בצורה יעילה יותר. שינוי משמעותי אחד הוא השימוש בקמפיינים זדוניים של Google Ads, שמפנים משתמשים תמימים לדפי פישינג שנועדו לספק תוכנות זדוניות. זה מאפשר לתוקפים להפיץ את רשתות הפישינג שלהם ולהמתין למשתמשים, שייגשו לתוכן ה-'מפורסם'. במחקר זה זיהינו דרך מתוחכמת עוד יותר למשוך קורבנות פוטנציאליים: הופעתן של רשתות רפאים בפלטפורמות מרובות. רשת רפאים היא אוסף של חשבונות מזויפים, או חשבונות 'רפאים', שפועלים כשירות ומבצעים מניפולציות על כלי מעורבות בפלטפורמה, כדי להסוות פעילויות זדוניות ולאפשר הפצת נוזקות בהיקף גדול".

"הופעתה של רשת הרפאים של יוטיוב מייצגת שינוי משמעותי באסטרטגיה", סיכמו החוקרים. "על ידי חטיפת חשבונות לגיטימיים ומינוף מנגנוני המעורבות של הפלטפורמה, תוקפים יכולים לבנות אמון, להתחמק מזיהוי ולקיים פעולות תקיפה בהיקף נרחב, עם זמן השבתה מינימלי. רשת הרפאים של יוטיוב מציגה גישה מובנית ומבוססת תפקידים, שמאפשרת לקמפיינים להמשיך ולתקוף, למרות חסימת חשבונות בודדים, ויוצרת מערכת עמידה להפצת נוזקות".

לדברי אלי סמדג'ה, מנהל קבוצת המחקר בצ'ק פוינט, "המבצע הזה ניצל את מנגנוני האמון של המשתמשים – צפיות, לייקים ותגובות – כדי לגרום לתוכן זדוני להיראות בטוח ואמין. מה שנראה כסרטון הדרכה תמים הוא למעשה מלכודת סייבר מעוצבת היטב. ההיקף, הגמישות והתחום של הרשת מהווים תבנית פעולה לפושעי סייבר. הם עושים כיום שימוש בכלי מעורבות להפצת נוזקות. בנוף האיומים של היום, סרטון פופולרי עלול להיות מסוכן לא פחות ממייל פישינג. המבצע הזה מוכיח שגם פלטפורמות אמינות אינן חסינות מניצול – אך גם מראה שעם שיתופי פעולה נכונים, ניתן למנוע אותם".