Quello che sembrava un flusso continuo di normali tutorial e dimostrazioni su YouTube si è rivelato uno dei più ampi sistemi di distribuzione di malware mai osservati sulla piattaforma. Lo ha scoperto Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, che ha individuato e contribuito a smantellare la cosiddetta “YouTube Ghost Network”: una rete organizzata di account falsi e compromessi, utilizzata per diffondere infostealer su larga scala.
L’indagine di Check Point Research ha portato alla segnalazione e successiva rimozione di oltre 3.000 video malevoli, pubblicati con l’obiettivo di indurre gli utenti a scaricare software infetti. Si trattava di una campagna di portata globale, costruita con metodo e precisione, che sfruttava la fiducia degli utenti nella piattaforma e la familiarità dei contenuti più cercati per ottenere diffusione e credibilità.
Dalla fiducia all’inganno
La strategia era tanto semplice quanto efficace. Gli attaccanti utilizzavano canali YouTube compromessi o falsi per caricare video che promettevano versioni gratuite o “crackate” di software noti, come Adobe Photoshop, FL Studio o Microsoft Office, oltre a cheat per giochi popolari come Roblox. Ogni video rimandava a un archivio compresso, spesso protetto da password, che conteneva in realtà un infostealer come Rhadamanthys o Lumma. Una volta installato, il malware sottraeva credenziali, portafogli di criptovalute e informazioni di sistema, inviandole poi a server di comando e controllo che cambiavano regolarmente indirizzo per sfuggire ai sistemi di rilevamento.
La particolarità di questa rete non era soltanto la quantità di contenuti pubblicati, ma la sua struttura modulare. Ogni tipologia di account svolgeva un compito preciso: alcuni caricavano i video, altri gestivano i post con password e link aggiornati, altri ancora riempivano le sezioni dei commenti con recensioni e “like” per aumentare la percezione di affidabilità. Un inganno perfetto, costruito sul meccanismo stesso della fiducia digitale.
Una minaccia in evoluzione
Check Point Research ha seguito l’attività del Ghost Network per oltre un anno, tracciando migliaia di account interconnessi e identificando pattern comuni di pubblicazione e comportamento. Uno dei canali compromessi, con oltre 129.000 iscritti, aveva pubblicato una falsa versione di Photoshop, raggiungendo quasi 300.000 visualizzazioni e centinaia di commenti positivi. In altri casi, i criminali prendevano di mira gli utenti di criptovalute con pagine di phishing camuffate da link di Google Sites.
Secondo gli analisti, questa campagna rappresenta un’evoluzione significativa nelle tecniche di ingegneria sociale: la fiducia non è più solo il bersaglio da manipolare, ma la piattaforma stessa diventa lo strumento. Like, visualizzazioni e commenti vengono orchestrati per simulare un consenso collettivo, mentre l’interazione degli utenti diventa l’elemento che dà forza e durata alla campagna.
Collaborazione e rimozione
La segnalazione dei ricercatori di Check Point a Google ha portato alla rimozione coordinata di oltre 3.000 video malevoli, interrompendo una delle catene di distribuzione di malware più diffuse mai osservate su YouTube. Il risultato è frutto di un’indagine condotta con approccio proattivo e basata sulla collaborazione diretta tra industria e piattaforme, un modello che – secondo Check Point – sarà sempre più cruciale per contrastare minacce costruite sull’inganno della fiducia.
“Questa campagna dimostra quanto sia sottile la linea tra piattaforme di condivisione e vettori di attacco”, hanno commentato i ricercatori. “La manipolazione della percezione di sicurezza e della reputazione sociale sta diventando una delle armi più efficaci del cybercrimine moderno.”
L’importanza della prevenzione
Check Point ricorda che gli utenti devono prestare massima attenzione a qualsiasi video o link che prometta software gratuito o versioni “sbloccate” di programmi commerciali. Disattivare le protezioni antivirus, anche solo temporaneamente, rappresenta un rischio elevato e può aprire la strada a infezioni difficili da individuare. Per contrastare campagne di questo tipo, le soluzioni Check Point Threat Emulation e Harmony Endpoint offrono protezione specifica contro infostealer come Rhadamanthys e Lumma, oltre a bloccare le catene di infezione identificate nella YouTube Ghost Network.
Una lezione di fiducia digitale
L’indagine di Check Point Research sottolinea un concetto chiave: la fiducia è diventata un terreno di battaglia. In un’epoca in cui i meccanismi di engagement determinano la visibilità online, ogni “mi piace” o commento può essere sfruttato per costruire una falsa legittimità. La YouTube Ghost Network dimostra quanto sia facile manipolare l’affidabilità percepita di una piattaforma globale, ma anche quanto la cooperazione tra ricercatori, aziende e provider possa ridurre l’impatto delle minacce quando si agisce in modo coordinato.
