Une campagne malveillante a récemment été démantelée, utilisant des comptes compromis pour diffuser des vidéos trompeuses. Ces clips promettaient des logiciels piratés mais réalisaient, en réalité, des opérations de vol de données et de crypto-monnaies. La menace est plus omniprésente que jamais et nécessite une vigilance accrue.
La campagne utilisait des comptes compromis et des milliers de commentaires faux pour distribuer des infostealers qui volaient des mots de passe et des crypto-monnaies à quiconque téléchargeait le fichier
Google a supprimé plus de 3.000 vidéos de YouTube distribuant des logiciels malveillants camouflés en tutoriels de logiciels crackés et astuces de jeux vidéo. Ces vidéos promettaient des versions gratuites de programmes comme Photoshop ou FL Studio, ainsi que des conseils pour Roblox. En réalité, elles installaient des programmes dérobant des mots de passe, des crypto-monnaies et des données de l’ordinateur. L’opération, appelée « YouTube Ghost Network », utilisait des comptes légitimes compromis pour apparaître crédible aux utilisateurs en quête de logiciels gratuits.
Selon The Register, des chercheurs de Check Point ont découvert que la campagne était active depuis 2021 mais a connu une explosion en 2025, triplant le nombre de vidéos malveillantes. Google a collaboré avec Check Point pour démanteler ce qui est considéré comme l’une des plus grandes opérations de distribution de logiciels malveillants sur la plateforme.
Miles de comptes faux travaillant ensemble
La Ghost Network opérait avec des milliers de comptes coordonnés. Certains publiaient les vidéos, d’autres remplissaient les commentaires de louanges et d’émojis, tandis qu’un troisième groupe partageait des liens et des mots de passe dans les publications communautaires. Le système était conçu pour sembler légitime: vidéos avec des milliers de vues, commentaires positifs et liens apparemment sûrs. Eli Smadja, responsable de recherche chez Check Point, explique que l’opération tirait parti des mécanismes propres à YouTube pour distribuer des logiciels malveillants.
Les vidéos demandaient de désactiver l’antivirus et de télécharger un fichier depuis Dropbox, Google Drive ou MediaFire. Dans ces fichiers, il n’y avait pas de programme fonctionnel, mais des infostealers comme Rhadamanthys ou Lumma. Lorsque ces derniers s’exécutaient, ils envoyaient des mots de passe, des portefeuilles de crypto-monnaies et des informations système à des serveurs contrôlés par les attaquants. Les victimes ne réalisaient rien avant qu’il ne soit trop tard.
Une chaîne compromise avec 129.000 abonnés a publié une version falsifiée de Photoshop qui a suscité presque 300.000 vues et plus de 1.000 likes. Une autre vidéo, ciblant les utilisateurs de crypto-monnaies, les redirigeait vers des pages de phishing hébergées sur Google Sites. Check Point a découvert que les opérateurs changeaient constamment le logiciel malveillant et les liens, créant un système qui se regenerait même si Google supprimait certaines comptes. Cette méthode est similaire à une autre opération appelée « Stargazers Ghost Network » sur GitHub.
Bien que la plupart des vidéos proposaient des logiciels piratés, l’attraction principale provenait des astuces pour Roblox, qui compte environ 380 millions de joueurs actifs par mois. Il y avait également de fausses copies de Microsoft Office, Lightroom et d’autres outils d’Adobe. La plateforme de jeux avait récemment mis en place une vérification d’âge avec IA pour garantir la sécurité de ses jeunes utilisateurs.
Au cours de cette année, nous avons constaté des changements dans les méthodes de distribution des logiciels malveillants. Les e-mails de phishing, qui étaient autrefois prédominants, laissent désormais place à des attaquants utilisant des plateformes connues. Ce n’est pas la première fois que des logiciels malveillants se déguisent en applications populaires: il y a quelques mois, nous alertions sur d’autres cas se faisant passer pour WhatsApp et TikTok afin de voler des données bancaires, exploitant ainsi la confiance envers des noms connus.
Smadja met en garde que désormais, une vidéo ayant l’air populaire peut être aussi dangereuse qu’un e-mail de phishing. Check Point ignore qui est à l’origine de cette opération : il semble s’agir de cybercriminels cherchant des revenus, mais la situation pourrait évoluer si des groupes étatiques adoptaient des tactiques similaires. La société continue de surveiller pour détecter de nouvelles versions de cette opération. La YouTube Ghost Network a été démantelée, mais la mécanique sous-jacente demeure. Avec la manière dont l’engagement est utilisé comme une arme, la prochaine campagne est toujours à un clic de distance.