Youtube นั้นเรียกได้ว่าเป็นแพลตฟอร์มสำหรับการรับชมคลิปวิดีโอที่ได้รับความนิยมตลอดกาล มีคลิปมากมายทั้งมีสาระ และไร้สาระ แน่นอนว่า ด้วยความนิยมที่ไม่เสื่อมคลายช่องทางนี้ก็ได้เป็นช่องทางสำหรับแฮกเกอร์ใช้ในการแพร่กระจายมัลแวร์มากขึ้นเป็นเงาตามตัวเช่นเดียวกัน
ภาพจาก : https://thehackernews.com/2025/10/3000-youtube-videos-exposed-as-malware.html
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทางทีมวิจัยจาก Check Point บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ได้ออกมากล่าวถึงผลการตรวจสอบของแคมเปญการปล่อยมัลแวร์ต่าง ๆ ผ่านทางช่องทางแพลตฟอร์มวิดีโอออนไลน์ยอดนิยมอย่าง Youtube ที่ถูกใช้งานโดยแฮกเกอร์เพื่อปฏิบัติการรูปแบบนี้มาอย่างยาวนาน โดยเริ่มต้นตั้งแต่ช่วงปี ค.ศ. 2024 (พ.ศ. 2567) ที่เครือข่ายแฮกเกอร์ YouTube Ghost Network ได้ทำการแพร่กระจายมัลแวร์โดยใช้คลิปวิดีโอบน Youtube ซึ่งโพสต์ผ่านทางบัญชีที่แฮกเกอร์ขโมยมาได้สำเร็จ มาเปลี่ยนคอนเทนต์คลิปวิดีโอภายในบัญชี ให้เป็นคลิปวิดีโอโฆษณาชักชวนให้ดาวน์โหลดซอฟต์แวร์เถื่อน และโปรแกรมสำหรับโกงการเล่นวิดีโอเกมยอดนิยมอย่าง Roblox เพื่อนำไปสู่การหลอกให้ดาวน์โหลดไฟล์แฝงมัลแวร์ประเภทขโมยข้อมูลจากเหยื่อ หรือ Infostealer ซึ่งทางทีมวิจัยพบว่า มีคลิปวิดีโอมากกว่า 3,000 ตัวที่พัวพันกับเครือข่ายดังกล่าว โดยบางตัวนั้นมียอดผู้เข้าชม (View) จำนวนมากถึง 147,000 ถึง 293,000 ครั้ง เลยทีเดียว ทาง Google ได้รับทราบเรื่องดังกล่าวก็ไม่ได้นิ่งเฉยโดยได้ทำการทยอยลบคลิปวิดีโอที่เกี่ยวข้องเป็นที่เรียบร้อยแล้ว
ทางทีมวิจัยยังได้กล่าวอีกว่า ปฏิบัติการดังกล่าวนั้นเป็นการอาศัยความเชื่อใจของเหยื่อที่มีต่อ “สัญญาณแห่งความไว้วางใจ” หรือ Trust Signal จากจุดต่าง ๆ บนคลิป ตั้งแต่ตัวคอนเทนต์เอง ไปจนยอดผู้รับชม, ยอดผู้กดไลก์ และคอมเมนต์ต่าง ๆ ทำให้คอนเทนต์ที่ควรจะดูผิดสังเกต ถูกมองว่าปลอดภัยแทนจนเหยื่อหลงเชื่อกดดาวน์โหลด โดยบัญชีที่ใช้เพื่อสร้างสถานการณ์ และเพิ่มความเชื่อใจให้กับเหยื่อนั้นจะมีอยู่ 3 ชนิด นั่นคือ
- บัญชีที่โพสต์คลิป: ทำหน้าที่อัปโหลดวิดีโอ พร้อมรายละเอียดต่าง ๆ เช่น ลิงก์ที่จะพาเหยื่อไปยังเว็บไซต์ปลอมที่มีการวางมัลแวร์ไว้อยู่
- บัญชีสำหรับโพสต์ข้อความ: ใช้ในการโพสต์ข้อความเชิญชวนในกลุ่มชุมชนต่าง ๆ อย่างเช่น กลุ่มบนโซเชียลมีเดีย หรือ เว็บบอร์ดต่าง ๆ และนำเอาลิงก์วิดีโอไปโพสต์ยังเว็บไซต์ภายนอก
- บัญชีที่ใช้ในการมีส่วนร่วมทั่วไป: ใช้ในการเข้ามาเพิ่มจำนวนการดู, กดไลก์, และเขียนคอมเมนต์สร้างความน่าเชื่อถือ
นอกจากนั้น ทางทีมวิจัยยังได้ยกตัวอย่างบัญชีหลักของกลุ่มแฮกเกอร์ที่ใช้ในการโพสต์คลิปวิดีโอ 2 บัญชี ดังนี้
- @Sound_Writer (ผู้กดติดตาม 9,690) เป็นบัญชีที่ถูกแฮกมานานนับปี โดยถูกนำไปใช้อัปโหลดคลิปเกี่ยวกับซอฟต์แวร์สำหรับใช้ในการซื้อขายเหรียญคริปโตเคอร์เรนซี เพื่อแพร่กระจายมัลแวร์ Rhadamanthys
- @Afonesio1 (ผู้กดติดตาม 129,000) ถูกแฮกมาตั้งแต่ช่วงวันที่ 3 ธันวาคม ค.ศ. 2024 (พ.ศ. 2567) ถึง 5 มกราคม ปีนี้ โดยตัวช่องนั้นได้ถูกนำมาอัปโหลดคลิปวิดีโอเพื่อโฆษณาว่ามีการแจกจ่ายซอฟต์แวร์ Adobe Photoshop เวอร์ชันแคร็ก ให้ใช้งานฟรี แต่แท้จริงแล้วเป็นการหลอกให้ดาวน์โหลดมัลแวร์ Hijack Loader ซึ่งจะนำไปสู่การติดตั้งมัลแวร์ Rhadamanthys อีกที
โดยมัลแวร์ที่ถูกนำมาใช้บนแคมเปญแพร่กระจายมัลแวร์บน Youtube นั้นก็มีมากมายหลายตัว ไม่ว่าจะเป็น Lumma Stealer, Rhadamanthys Stealer, StealC Stealer, RedLine Stealer, Phemedrone Stealer, รวมไปถึงมัลแวร์นกต่อ (Loader หรือ Downloader) ในรูปแบบไฟล์ Node.js ที่ใช้ในการติดตั้งมัลแวร์ข้างต้น โดยแฮกเกอร์จะฝากไฟล์หรือโพสต์ไฟล์ไว้บนบริการฝากไฟล์ชื่อดังต่าง ๆ ไม่ว่าจะเป็น MediaFire, Dropbox, Google Drive หรือ เว็บไซต์หลอกลวงแบบ Phsihing ที่ถูกโฮสต์ไว้บน Google Sites, Blogger หรือแม้แต่บนบริการแชทอย่าง Telegraph
ภาพจาก : https://thehackernews.com/2025/10/3000-youtube-videos-exposed-as-malware.html
ไม่เพียงเท่านั้น ทางทีมวิจัยยังได้เผยอีกว่า ปฏิบัติการของแฮกเกอร์ด้วยวิธีการนี้นั้น ทาง Ghost Network ไม่ได้ริเริ่มเป็นรายแรก แต่ได้มีการใช้งานโดยแฮกเกอร์กลุ่มอื่นมาอย่างยาวนานแล้วบนแพลตฟอร์มที่น่าไว้วางใจตัวอื่น เช่น Google, Bing, และ GitHub เป็นต้นซึ่งปฏิบัติการดังกล่าวนั้น เป็นปฏิบัติการของแฮกเกอร์อีกเครือข่ายหนึ่งที่มีชื่อว่า Stargazers Ghost Network (โดยจากชื่อนั้นคาดว่าอาจเป็นเครือข่ายเดียวกันที่ใช้คนละชื่อ หรืออาจมีส่วนเกี่ยวข้องกับกลุ่มข้างต้น) โดยแฮกเกอร์กลุ่มนี้จะใช้บริการกลุ่มดังกล่าวในการยิงโฆษณาปลอม โดยมีจุดประสงค์เพื่อหลอกให้เหยื่อเข้าสู่เว็บไซต์ปลอมและดาวน์โหลดแอปพลิเคชันปลอมแฝงมัลแวร์เช่นเดียวกัน