Check Point Research on paljastanut laajan haittaohjelmien levitysoperaation, joka käytti hyväkseen Youtubea, vieläpä täysin näkyvästi.

Youtubessa ollut niin sanottu ”varjoverkosto” (Youtube Ghost Network) käytti väärennettyjä ja kaapattuja Youtube-tilejä levittääkseen tietoja varastavia haittaohjelmia, kuten Rhadamanthysia ja Lummaa.

Ne naamioitiin muun muassa niin sanotuiksi murretuiksi ohjelmiksi ja pelihuijauksiksi, joissa jaettiin ”asennusvideoita” tai ohjeita.

Julkaisevat tilit jakoivat yhteisöpostauksia, joissa oli päivitetyt salasanat ja haittalinkit. Kommenttitilit puolestaan täyttivät kommenttiosiot tekaistuilla kehuilla, jotka rakensivat valheellista luottamusta. Kerroksellinen lähestymistapa mahdollisti jatkuvat tartuntaketjut ja sai sisällön näyttämään aidolta, vaikka yksittäisiä videoita poistettiin.

Uhrit houkuteltiin poistamaan virustorjuntaohjelma ennen salasanasuojatun haittaohjelman asentamista.

CPR:n tutkimuksen seurauksena alustalta poistettiin yli 3 000 haitallista videota. Kyseessä on yksi Youtuben historian laajimmista haittaohjelmien jakeluverkostoista.

Yhdellä kaapatulla Youtube-kanavalla oli yli 129 000 tilaajaa, ja videoita oli katsottu lähes 300 000 kertaa.