در سال ۲۰۲۵، تحلیل‌های امنیتی نشان داده‌اند که مهاجمان دیگر محدود به روش‌های کلاسیک فیشینگ نیستند. آنها اکنون از ترکیب سایت‌های توزیع نرم‌افزار کرک‌شده و ویدیوهای یوتیوب برای انتشار بدافزارهای پیشرفته استفاده می‌کنند. این کمپین‌ها نه تنها رایانه را آلوده می‌کنند، بلکه می‌توانند به اطلاعات حساس سازمانی و شخصی نیز دسترسی پیدا کنند.

چرا حتی تماشای یک ویدیو در یوتیوب ممکن است خطرناک باشد؟

بسیاری از این ویدیوها به طور قابل اعتماد و طبیعی طراحی شده‌اند، اما لینک‌های دانلودی درج‌شده در توضیحات یا نظرات، کاربران را به فایل‌های مخرب یا صفحات جعلی هدایت می‌کنند. تحقیقاتی نشان داده است که مهاجمان از شبکه‌ای از حساب‌های به‌ظاهر معتبر یوتیوب برای انتشار بدافزارها استفاده می‌کنند. چندین ویدیو با هزاران بازدید که کاربران را به دام می‌اندازد.

این شبکه که به نام YouTube Ghost Network شناخته می‌شود، از حساب‌های هک شده یا جعلی برای فریب کاربران بهره می‌برد و لینک‌های مخرب را در قالب نرم‌افزارهای کرک‌شده، ابزارهای رایگان و ترفندهای آموزشی منتشر می‌کند .

YouTube Ghost Network چیست؟

YouTube Ghost Network  به شبکه‌ای سازمان‌یافته از کانال‌های یوتیوب جعلی یا هک‌شده گفته می‌شود که توسط مهاجمان سایبری برای توزیع بدافزار مورد استفاده قرار می‌گیرند، بدون اینکه در نگاه اول رفتاری مشکوک داشته باشند.

در این شبکه‌ها:

✔ کانال‌ها ظاهراً عادی، قدیمی و حتی دارای بازدید و کامنت واقعی هستند.

✔ ویدیوها اغلب با عنوان‌های آموزشی، کرک نرم‌افزار، ابزار رایگان، ترفندهای فنی یا حل خطا منتشر می‌شوند.

✔ لینک‌های مخرب در Description یا Comments قرار می‌گیرند.

✔ کاربر با کلیک روی لینک، به فایل‌های آلوده یا صفحات دانلود جعلی هدایت می‌شود.

📌  نکته کلیدی:
به آن Ghost Network  گفته می‌شود چون این کانال‌ها برای مدت طولانی شناسایی نمی‌شوند، به‌صورت زنجیره‌ای تکثیر می‌شوند و از اعتماد کاربران به پلتفرم YouTube سوءاستفاده می‌کنند.

در کمپین‌های اخیر، YouTube Ghost Network  به‌عنوان یکی از Initial Access Vector ‌ها برای انتشار بدافزارهایی مانند Infostealer ها و Loaderها (مثل CountLoader و GachiLoader) استفاده شده است.

نقش نرم‌افزار کرک‌شده در زنجیره حمله

یکی از اصلی‌ترین بردارهای اولیه این حملات، وب‌سایت‌های توزیع نرم‌افزار کرک‌شده است. کاربرانی که قصد دارند نرم‌افزارهای رایگان یا فعال‌سازهای غیرقانونی را دانلود کنند، معمولاً:

🔹  به لینک‌های MediaFire  یا فایل‌های ZIP رمزگذاری‌شده هدایت می‌شوند
🔹  فایل‌های مخرب (مثلاً Python interpreter تغییر نام‌داده‌شده) اجرا می‌شود
🔹  بدافزارهایی مانند CountLoader  از راه mshta.exe فراخوانی می‌شوند
🔹  اقدام به بارگذاری بدافزارهای بعدی مانند ACR Stealer  می‌کنند.

این فرآیند نشان می‌دهد که حتی یک دانلود ظاهراً ساده می‌تواند مسیر ورود به یک زنجیره حمله پیچیده را فراهم کند.

بدافزارهای پیشرفته در این حملات

CountLoader

✔ یک لودر مدولار و پنهان‌کار است که به عنوان مرحله اولیه حمله عمل می‌کند.

✔ این بدافزار قادر است بدافزارهای ثانویه مانند RATها، stealers، miners و Cobalt Strike را بارگذاری کند.

✔ همچنین می‌تواند وظایف زمان‌بندی‌شده در سیستم ایجاد کند و تا ۱۰ سال در سیستم فعال بماند.

GachiLoader

✔ یک لودر نوشته‌شده با Node.js  است که از طریق شبکه ویدیوهای یوتیوب منتشر می‌شود.

از تکنیک‌های حذف✔ Microsoft Defender  و تزریق PE برای پنهان‌سازی بهره می‌برد و ممکن است بدافزارهای اطلاعات‌بردار مانند Rhadamanthys را اجرا کند.

چگونه این حملات ما را فریب می‌دهند؟

:مهاجمان از چندین روش مهندسی اجتماعی و تکنیک‌های فنی بهره می‌برند تا کاربران را فریب دهند
✔  استفاده از عنوان‌ها و توضیحات جذاب و فریبنده که به‌نظر قانونی می‌آیند
✔  لینک دادن به فایل‌های محبوب (نرم‌افزارها یا cheatها)
✔ به‌کارگیری تکنیک‌های تازه‌وارد بی‌اطلاع را هدف قرار می‌دهد و از اعتماد به پلتفرم‌های معتبر سوء‌استفاده می‌کند.

اقدامات دفاعی و توصیه‌های امنیتی

برای کاهش خطرات ناشی از حملات مبتنی بر نرم‌افزار کرک‌شده و YouTube Ghost Network، توصیه می‌شود:

 آموزش کاربر و آگاهی‌سازی🔹:
به کاربران و کارکنان هشدار دهید که هیچ لینک دانلودی را بدون تأیید منابع رسمی باز نکنند. بسیاری از بدافزارها تنها با یک کلیک روی لینک‌های آلوده اجرا می‌شوند، بنابراین آگاهی کاربر اولین سد دفاعی است.

 استفاده از نرم‌افزارهای قانونی🔹:
به‌جای دانلود نسخه‌های کرک‌شده، از نرم‌افزارهای رسمی و مجوزدار استفاده کنید تا مسیرهای اولیه ورود بدافزار بسته شود.

 راهکارهای پیشرفته حفاظتی🔹 (EDR) :
ابزارهای Endpoint Detection and Response (EDR)  الزام هستند زیرا حملات مدرن به‌صورت چندمرحله‌ای طراحی شده‌اند و می‌توانند:

فعالیت‌های مشکوک در endpoint را در زمان واقعی شناسایی و هشدار دهند، بدافزارهای مخفی‌شده یا رمزگذاری‌شده را که آنتی‌ویروس سنتی نمی‌تواند تشخیص دهد، ردیابی و مهار کنند

Behavior Monitoring و Threat Hunting را فعال کنند تا زنجیره حمله از مرحله Initial Access تا Payload شناسایی شود

اطلاعات جمع‌آوری‌شده برای تحلیل و پیشگیری از حملات بعدی در سطح سازمان را ثبت و گزارش‌دهی کنند

به بیان ساده، حتی اگر کاربر روی لینک آلوده کلیک کند، EDR  می‌تواند مانع اجرای موفقیت‌آمیز بدافزار و انتشار آن در شبکه شود، بنابراین یک لایه امنیتی حیاتی است.

پایش پلتفرم‌های عمومی🔹:
نظارت بر لینک‌ها و محتوای مشکوک در یوتیوب و سایر شبکه‌های اجتماعی و حذف فوری لینک‌های غیررسمی، ریسک آلوده شدن کاربران را کاهش می‌دهد.

جمع‌بندی

شناخت بردارهای حمله جدید به سازمان‌ها و کاربران کمک می‌کند تا در برابر تهدیدات پیچیده‌تر امروز آماده‌تر باشیم. اکنون حتی تماشای یک ویدیو در یوتیوب یا دانلود یک کرک نرم‌افزار می‌تواند مسیر هک سیستم و سرقت اطلاعات را بازکند. به همین دلیل، به‌کارگیری راهکارهای امنیتی چندلایه، آموزش کاربران و جلوگیری از لینک‌های غیررسمی در اولویت قرار دارد.