Avete presente quel tutorial su YouTube che promette “software gratis”, “crack” o “hack del gioco”? Bene: pensateci due volte prima di cliccare. Perché dietro quell’apparenza innocente si nasconde una vera e propria macchina infernale di cyber-minacce, che i ricercatori di Check Point Research hanno battezzato YouTube Ghost Network. Dal 2021 almeno, con un’impennata nel 2025, migliaia di video più di 3.000 hanno abbandonato la facciata di “tutorial” per diventare vettori di malware che rubano password, dati e identità digitali.

Immaginate un ecosistema criminale progettato come un’azienda tech: account compromessi o fasulli su YouTube, ruoli divisi tra chi carica il video-lure, chi pubblica i link nei post della community, chi interagisce e genera commenti positivi per simulare fiducia. Il risultato? Un “network fantasma” che sfrutta la logica sociale della piattaforma per agganciare gli utenti meno guardati.

Il meccanismo è quasi banale nella sua malizia. Avete voglia di un “crack” di un software costoso o di un trucco per il vostro gioco preferito. Cercate su YouTube. Trovate un video con migliaia di visualizzazioni, commenti entusiasti, un download link che vi promette la scorciatoia. Cliccate. Vi viene chiesto di disabilitare l’antivirus (sic!) o Windows Defender. Aprite l’archivio protetto da password, installate quello che pensavate fosse una scorciatoia e in realtà è un cavallo di Troia che vi dissangua digitalmente. Le famiglie di malware coinvolte sono ben note agli addetti ai lavori: Lumma Stealer, Rhadamanthys, RedLine, e via dicendo.

La soglia di fiducia sociale è cruciale: quel video ha 293.000 visualizzazioni, 1.000 like, commenti generati da account “interact” che sembrano organici ma non lo sono. Social proof trasformata in arma digitale. E la “modularità” dell’organizzazione criminale garantisce resilienza: se un account viene bannato, ne spunta un altro con lo stesso ruolo e la filiera continua.

Da CTO e CEO con trent’anni di esperienza potrei banalizzare dicendo “non scaricate software pirata”. Ma abbandono quel tono da leggere distrattamente e tiro fuori un dato che non lascia scampo: nel 2025 rispetto agli anni precedenti il volume di video malevoli individuati è triplicato. Non è più un’anomalia di nicchia: è una vera e propria strategia industriale di distribuzione del malware sfruttando YouTube.

Perché questo fenomeno è significativo nel panorama della trasformazione digitale e dell’innovazione tecnologica (tema che mi è caro)? Perché segnala che i tracciati tradizionali della sicurezza email phishing, allegati sospetti sono diventati “vecchio stile”. I criminali oggi si infilano nelle piattaforme in cui fiducia e engagement sono moneta, e le trasformano in parte integrante della catena di attacco. Il paradigma si sposta: dall’invasione frontale all’inganno “social-platform native”.

Ecco qualche spunto aggiuntivo che suggerisco considerare seriamente:
Primo, l’algoritmo della piattaforma (YouTube) non è progettato per rilevare il download esterno ospitato su Dropbox, MediaFire o Google Drive linkate dal video. Il video può sembrare “perfetto”, l’esperienza utente rassicurante. Ma il link esterno e l’archivio password-protetto sono la trappola.
Secondo, la leva psicologica è potente: l’utente crede che “se hanno tanti like e visualizzazioni, sarà affidabile”. Ma in realtà molte interazioni sono false, generate da “interact-accounts” programmati a mettere like/commenti. La fiducia è manipolata.
Terzo, la scelta del target non è casuale: categorie come giochi (es: Roblox) o software costosi (es: Adobe Photoshop) sono ideali perché attirano utenti con desiderio di “ottenerlo gratis”. Questo abbassa le difese.

Da leader tecnologico che conosce bene la catena del rischio, suggerisco un approccio “zero tolleranza” economico-tecnologico: ogni download esterno da fonti non ufficiali va considerato come “porta aperta” al furto dei dati. Un attacco di tipo infostealer può non solo scassinare credenziali di browser, ma compromettere wallet crypto, sistemi aziendali e persino back-office se l’utente è in un’organizzazione con accessi privilegiati.

In termini di “digital hygiene” (una parola forse abusata ma qui fondamentale):

Uno, tenete attivo real-time protection antivirus/EDR e non disattivatelo per “mettere un crack”. Due, evitate ogni download per cui è richiesto di disabilitare Windows Defender o modificare impostazioni critiche del sistema. Tre, usate account non-privilegiati per attività “a rischio”, segmentate l’ambiente aziendale in modo che un utente vittima non possa infettare l’intera infrastruttura. Quattro, monitorate i segnali: se un utente segnala che ha scaricato “gratis un software costoso” e ha disabilitato l’AV, mettete quell’endpoint in quarantena.

Sarà forse provocatorio, ma direi che la vera “innovazione” nella difesa digitale oggi consiste nel trattare quelle piattaforme che pensavamo innocue (video tutorial, community YouTube) come potenziali vettori di attacco. E nel ridisegnare la governance aziendale non solo per firewall e IDS, ma per “engagement trust sabotage” e il “malware like-insta-comment loop”.

Nel report di Check Point un account compromesso aveva 129.000 iscritti e un video che offriva un crack di Adobe Photoshop aveva 291.000 visualizzazioni. Un video “must see” se volete perdere tutto ciò che avete nel browser.