YouTubeゴーストネットワークの脅威が拡大
Check Point Researchは、3,000本以上の悪意ある動画を通じてユーザーを情報窃取型マルウェアに感染させる大規模なマルウェア配布作戦「YouTubeゴーストネットワーク」を発見しました。この巧妙なサイバー犯罪ネットワークは少なくとも2021年から活動しており、2025年にはその活動が3倍に増加。脅威アクターは、従来のセキュリティ対策を回避するため、ユーザーが信頼を寄せるYouTubeプラットフォームを悪用しています。
巧妙な手口と役割分担
YouTubeゴーストネットワークは、従来のEメールフィッシングから進化し、人気ソーシャルメディアプラットフォームへの信頼を悪用しています。セキュリティ研究者は、連携して機能する3種類の侵害されたアカウントを特定しました。
- 動画アカウント: 悪意のあるコンテンツをアップロード。
- 投稿アカウント: ダウンロードリンクとパスワードを共有。
- インタラクトアカウント: ポジティブなコメントやエンゲージメントを通じて偽の正当性を演出。
この役割分担により、個々のアカウントがBANされても、脅威アクターは迅速に代替アカウントを用意し、キャンペーン全体を中断することなく運用を継続できます。
主な標的とマルウェアの進化
このネットワークは主に「ゲームのハック/チート」や「ソフトウェアのクラック/海賊版」を求めるユーザーを標的にしています。これらのカテゴリは、不正なソフトウェアのダウンロードに伴う固有のリスクにもかかわらず、依然として多くの潜在的な被害者を引き付けています。最も成功した悪意のある動画はAdobe Photoshopを標的とし、293,000回の視聴と54件のコメントを獲得。別のFL Studioを標的とした動画は147,000回の視聴に達しました。
マルウェアのペイロードも進化しており、2025年3月から5月にかけてLummaインフォスティーラーが取り締まりを受けた後、脅威アクターはRhadamanthysを主要な情報窃取ツールとして採用するようになりました。これは、サイバー犯罪エコシステムの動的な性質と、セキュリティ対策への迅速な適応能力を示しています。
高度な回避技術と多段階展開
YouTubeゴーストネットワークを通じて配布されるマルウェアのほとんどは、ユーザーの認証情報、金融情報、その他の機密データをリモートのコマンド&コントロール(C2)サーバーに窃取するインフォスティーラーです。脅威アクターは、パスワードで保護されたアーカイブ、頻繁なペイロードの更新、3~4日ごとのC2インフラのローテーションなど、高度な回避技術を使用しています。これらの戦術は、自動検出システムやレピュテーションベースのブロックメカニズムを特に標的としており、従来のセキュリティソリューションでは特定と阻止が困難です。
技術的な実装には多段階の展開が含まれ、初期のMSIインストーラーがHijackLoaderを配信し、それが最終的なRhadamanthysペイロードを展開します。この階層的なアプローチは、初期ファイルのみを分析し、完全な感染チェーンを検査しないセキュリティソリューションによる検出を回避するのに役立っています。
キャンペーンの詳細分析と持続性
特定のキャンペーンの詳細な分析により、ネットワークの運用における高度な洗練度が明らかになっています。ある事例では、9,690人の登録者を持つ侵害されたYouTubeチャンネルが、暗号通貨をテーマにした動画を通じてRhadamanthysインフォスティーラーを配布しました。このキャンペーンでは、Google Sites、MediaFire、Dropboxなど複数のプラットフォームで冗長なホスティングを利用し、個々のコンポーネントが検出・削除されても持続性を確保していました。
別の重要なキャンペーンでは、129,000人の登録者を持つ侵害されたアカウントを通じてコンテンツクリエイターが標的とされ、クラックされたAdobe製品を装ったマルウェアが配布されました。悪意のあるアーカイブには、機能するクラックソフトウェアと隠されたマルウェアの両方が含まれており、一部のユーザーは約束された機能を利用しながら、知らず知らずのうちにインフォスティーラーをインストールしてしまうため、検出がより困難になっています。
侵害の痕跡 (IOC)
以下は、キャンペーンに関連する主要な侵害の痕跡(IOC)の一部です。
- Campaign I Set-up.zip:
92c26a15336f96325e4a3a96d4206d6a5844e6a735af663ba81cf3f39fd6bdfe - Campaign I Set-up.exe (Rhadamanthys):
b429a3e21a3ee5ac7be86739985009647f570548b4f04d4256139bc280a6c68f - Campaign I Rhadamanthys C&C:
hxxps://94.74.164[.]157:8888/gateway/6xomjoww.1hj7n - Campaign II Adobe.Photoshop.2025.rar:
7d9e36250ce402643e03ac7d67cf2a9ac648b03b42127caee13ea4915ff1a524 - Campaign II Set-Up.msi:
ad81b2f47eefcdce16dfa85d8d04f5f8b3b619ca31a14273da6773847347bec8 - Campaign II Rhadamanthys C&C:
hxxps://5.252.155[.]99/gateway/r2sh55wm.a56d3
YouTubeゴーストネットワークの成功は、サイバー犯罪者が現代のセキュリティ環境に適応し、信頼されたプラットフォームやソーシャルエンジニアリング技術を悪用していることを示しています。従来の配布方法が効果を失うにつれて、これらのプラットフォームベースのアプローチはマルウェア配信の懸念すべき進化を表しており、セキュリティ研究者、プラットフォーム事業者、法執行機関による協調的な対応が求められます。