YouTube стал ловушкой: вирус прятался в роликах с "бесплатным Photoshop"

Check Point обнаружила более 3000 вредоносных роликов на YouTube

Исследователи компании Check Point обнаружили масштабную киберкампанию под названием YouTube Ghost Network, в рамках которой злоумышленники использовали более трёх тысяч роликов на YouTube для распространения вредоносного программного обеспечения. Под видом бесплатных версий популярных программ и игровых дополнений хакеры заражали устройства пользователей, похищая пароли, криптовалюту и личные данные.

Как работала YouTube Ghost Network

Основной замысел мошенников заключался в том, чтобы максимально имитировать легитимный контент. На каналах, выглядевших как обычные обучающие или игровые, публиковались видео с громкими заголовками вроде "Бесплатный Photoshop без активации" или "Рабочие читы для Roblox".

Под каждым роликом оставляли сотни поддельных комментариев, создающих иллюзию, что скачанные файлы действительно безопасны и функциональны. На деле ссылки в описании вели на архивы, размещённые на Dropbox, Google Drive или MediaFire, где находились заражённые исполняемые файлы.

"Хакеры тщательно маскировали вредоносные ссылки под легальные ресурсы и даже имитировали положительные отзывы, чтобы вызвать доверие", — отметили специалисты Check Point Research.

Какие программы предлагали хакеры

Злоумышленники использовали популярные запросы, чтобы повысить вероятность переходов. Среди приманок чаще всего встречались:
• Adobe Photoshop - "бесплатные" взломанные версии с отключённой активацией;
• FL Studio - пиратские сборки музыкального софта;
• Microsoft Office - "бесплатные ключи" и "активации без лицензии";
• Roblox - читы и инструменты для обхода защиты.

Особенно активно злоумышленники атаковали пользователей, которые доверчиво следовали инструкциям из видео. Их просили отключить Windows Defender перед установкой — якобы чтобы избежать "ложных срабатываний антивируса". После этого на компьютер загружалось вредоносное ПО.

Что именно загружалось

Аналитики Check Point выявили как минимум два активных семейства троянов, распространявшихся через эту кампанию — Lumma и Rhadamanthys.

Lumma Stealer специализируется на краже сохранённых паролей из браузеров и данных авторизации в криптокошельках.
Rhadamanthys способен перехватывать файлы конфигураций, куки-файлы, ключи двухфакторной аутентификации и даже делать снимки экрана.

Собранные данные затем передаются на управляющие серверы, где используются для взлома дополнительных аккаунтов или продажи на теневых форумах.

Масштаб заражения

Некоторые из видео в рамках YouTube Ghost Network набрали сотни тысяч просмотров. Например, ролик о "взломе Photoshop" на одном из скомпрометированных каналов с 129 тысячами подписчиков собрал 291 тысячу просмотров, а видео о "бесплатном FL Studio" — более 147 тысяч.

Многие пользователи даже не подозревали, что становятся частью атаки: внешне видео и комментарии выглядели правдоподобно, а каналы имели многолетнюю историю и тысячи подписчиков.

Реакция Google и Check Point

Check Point Research оперативно передала информацию команде Google, после чего большинство заражённых роликов было удалено. Также компания помогла выявить взломанные каналы и заблокировала доступ к размещённым вредоносным ссылкам.

"Мы наблюдаем рост использования YouTube как платформы для массовых атак. Хакеры выбирают её из-за доверия пользователей и высокой скорости распространения контента", — пояснили исследователи Check Point.

Google заявила, что продолжит усиливать системы автоматического обнаружения вредоносных ссылок и аномальной активности на YouTube.

Исторический контекст: атака на Linus Tech Tips

Кампания YouTube Ghost Network напоминает прошлогодний случай с популярным каналом Linus Tech Tips, имеющим 15,3 млн подписчиков. В 2023 году хакеры получили доступ к его учётной записи и разместили там мошенническую трансляцию о раздаче криптовалюты. Ссылки и QR-коды вели на поддельные сайты, где пользователям предлагали загрузить "спонсорские материалы", на деле представлявшие собой тот же тип вредоносного ПО, что и в текущей атаке.

Тогда YouTube оперативно восстановил доступ владельцу канала, но инцидент стал показателем того, насколько уязвимы даже крупные площадки при недостаточной киберзащите.

Сравнение методов атак на YouTube

Тип атаки	Приманка	Каналы распространения	Цель
YouTube Ghost Network	Бесплатные программы, читы	Dropbox, Google Drive, MediaFire	Кража паролей и криптоданных
Linus Tech Tips Hack (2023)	Раздача криптовалют	Прямая трансляция YouTube	Перенаправление на фишинговые сайты
Fake Sponsorship Emails	Ложные письма о партнёрстве	Электронная почта	Получение доступа к аккаунтам

Как защититься: пошаговые советы

Никогда не скачивайте программы по ссылкам из комментариев или описаний к видео.
Не отключайте антивирус, даже если об этом настойчиво просят "авторы".
Проверяйте подписи YouTube-каналов — наличие галочки подтверждения снижает риск подделки.
Используйте многофакторную аутентификацию для защиты учётной записи Google.
Сканируйте систему после любых загрузок при помощи антивирусов (например, ESET, Kaspersky, Bitdefender).

Ошибка → Последствие → Альтернатива

Ошибка: Скачать "взломанный" Photoshop с YouTube.
Последствие: Потеря паролей и данных кошельков.
Альтернатива: Использовать бесплатные аналоги, например GIMP или Photopea.
Ошибка: Отключить Windows Defender.
Последствие: Открытие системы для вредоносных программ.
Альтернатива: Добавить файл в исключения только после проверки цифровой подписи.
Ошибка: Доверять комментариям под видео.
Последствие: Мошенническая установка вируса.
Альтернатива: Проверять источник загрузки и официальные сайты разработчиков.

А что если YouTube ужесточит политику безопасности?

Если Google внедрит автоматическую проверку всех внешних ссылок и архивов, размещённых под видео, такие кампании станут значительно сложнее. Возможно, платформа начнёт применять дополнительные меры — например, обязательное подтверждение личности авторов, использующих популярные бренды в названиях роликов.

Плюсы и минусы ужесточения правил

Плюсы	Минусы
Снижение числа атак	Увеличение задержек при публикации видео
Повышение доверия пользователей	Возможные ложные блокировки контента
Улучшение имиджа YouTube	Ограничение свободы авторов

3 интересных факта

Более 80% вредоносных роликов в рамках кампании были загружены в течение трёх месяцев.
По оценкам Check Point, ежедневно YouTube Ghost Network могла заражать до 10 000 пользователей.
Lumma и Rhadamanthys активно продаются на даркнет-форумах как готовые решения для атак на Windows.

FAQ

Как понять, что файл заражён?
Если система просит отключить антивирус или требует прав администратора без объяснений — это тревожный сигнал.

Можно ли удалить Lumma или Rhadamanthys вручную?
Нет, лучше использовать специализированные утилиты — Malwarebytes, Dr.Web CureIt! или Microsoft Safety Scanner.

Как защитить свой YouTube-канал от взлома?
Включите двухфакторную аутентификацию, не переходите по сторонним ссылкам в письмах о "сотрудничестве" и не делитесь токенами доступа.

Автор Алексей Левшин

Алексей Левшин — ИТ-эксперт, инженер (УрФУ). Специалист по автоматизации бизнеса, аналитике данных и цифровой безопасности. Опыт в индустрии — 15 лет.

Редактор Олег Белов

Олег Белов — журналист, корреспондент Ньюсинфо

Подписывайтесь на NewsInfo.Ru