Фейковый Photoshop — 300 тысяч просмотров. Как YouTube стал главной платформой для распространения вредоносов

leer en español

YouTube Check Point Rhadamanthys Lumma Ghost Network вредоносное ПО инфостилеры
Фейковый Photoshop — 300 тысяч просмотров. Как YouTube стал главной платформой для распространения вредоносов
YouTube Check Point Rhadamanthys Lumma Ghost Network вредоносное ПО инфостилеры

Check Point Research выявила сеть из тысяч фейковых аккаунтов, работающих как единый механизм обмана.

image

На фоне снижения эффективности традиционных каналов доставки вредоносного ПО киберпреступники всё чаще осваивают платформы, изначально не предназначенные для подобных целей. Команда Check Point Research обнаружила крупную распределённую сеть вредоносных аккаунтов на YouTube, получившую название YouTube Ghost Network. Эта система работает как полноценная инфраструктура распространения вредоносного ПО, используя фейковые и скомпрометированные учётные записи для загрузки видео, публикации ссылок и генерации фальшивой вовлечённости со стороны аудитории.

Анализ выявил свыше 3000 роликов, распространявших вредоносные программы под видом взломанных игр или пиратских версий популярных приложений. Наиболее часто встречались поддельные установщики для Adobe Photoshop и FL Studio, один из которых набрал почти 300 тысяч просмотров. По наблюдениям исследователей, активность сети фиксируется с 2021 года, однако именно в 2025-м количество загруженных вредоносных видео выросло втрое по сравнению с предыдущими годами. Такой всплеск свидетельствует об усилении масштаба кампании и её растущей результативности.

Сеть функционирует по модели с разделением ролей. Аккаунты делятся на три типа: одни публикуют видео с вредоносными ссылками, другие размещают пароли и архивы в разделе «Сообщество», третьи обеспечивают видимость доверия, комментируя и лайкая вредоносный контент. Используемые ссылки часто ведут на сторонние файлообменники или фишинговые страницы, замаскированные под легитимные сервисы. Часто применяются сокращённые URL и архивы с паролями — такие методы затрудняют автоматическую проверку со стороны защитных решений.

Среди выявленных вредоносных программ преобладают инфостилеры, специализирующиеся на краже учётных данных. До весны 2025 года в сети чаще всего распространялся Lumma Stealer, однако после его временного вывода из обращения приоритет перешёл к Rhadamanthys. Его свежие версии продолжают загружаться под видом популярных программ, в том числе с использованием известных взломанных каналов. Примером служит YouTube-аккаунт с десятками тысяч подписчиков, через который распространялись фальшивые копии Adobe Photoshop и Premiere Pro с минимальным уровнем обнаружения со стороны антивирусов.

Особенность Ghost Network — её устойчивость к блокировкам. Даже если отдельные аккаунты удаляются, на их место быстро приходят новые, а структура сети остаётся работоспособной. Смена серверов управления, регулярные обновления вредоносных файлов и использование большого числа одновременных каналов распространения делают такие кампании крайне живучими и сложными для выявления.

По словам авторов отчёта, подобные схемы используют психологические триггеры доверия — от комментариев с положительными отзывами до пошаговых инструкций по «установке» с временным отключением антивируса. Основной аудиторией остаются геймеры, интересующиеся читами, и пользователи, ищущие пиратские версии ПО. Особенно часто атакуются поклонники Roblox и пользователи продуктов Adobe, включая Photoshop, Lightroom и Premiere.

Результаты расследования уже позволили заблокировать тысячи вредоносных видео, однако команда подчёркивает, что устойчивость подобных сетей требует постоянного внимания и координации усилий между ИБ-аналитиками, платформами и правоохранительными органами. Помимо технических мер, важным остаётся информирование пользователей о рисках, связанных с неофициальными источниками программного обеспечения.