Montag, November 10, 2025
Netzpalaver
HomeSicherheit

Youtube-Geisternetzwerk – Wie Check Point Research dazu beitrug, 3000 bösartige Videos zu entfernen, die Malware verbreiteten

24. Oktober 2025

Check Point Software Technologies hat ein groß angelegtes Cyber-Netzwerk aufgedeckt, das sich in einem der vertrauenswürdigsten Bereiche des Internets versteckte: Youtube. Was wie harmlose Tutorials und Software-Demos aussah, entpuppte sich als ausgeklügeltes Netzwerk zur Verbreitung von Malware, bekannt als das „YouTube Ghost Network“. Zusammengefasst:

  • Check Point Research deckte das Youtube-Ghost-Network auf, eine groß angelegte Malware-Verbreitungsaktion, bei der gefälschte und kompromittierte Youtube-Konten verwendet wurden, um Infostealer wie Rhadamanthys und Lumma zu verbreiten.
  • Mehr als 3000 bösartige Videos wurden identifiziert und entfernt, nachdem sie von Check Point Research gemeldet worden waren, wodurch eine der größten Malware-Aktivitäten auf Youtube unterbunden wurde.
  • Die Operation stützte sich auf geknackte Software und Game-Hack-Videos, um Opfer zum Herunterladen passwortgeschützter Archive mit Malware zu verleiten.
  • Gekaperte Konten wurden verwendet, um Videos zu posten, Links zu teilen und Kommentarbereiche mit gefälschten Empfehlungen zu überschwemmen, wodurch ein falsches Gefühl des Vertrauens geschaffen wurde.
  • Die Untersuchung zeigt einen wachsenden Trend, dass Cyber-Kriminelle soziale Plattformen und Engagement-Tools nutzen, um Malware in großem Umfang zu verbreiten.

Die Operation nutzte kompromittierte und gefälschte Youtube-Konten, um Infostealer wie Rhadamanthys und Lumma zu verbreiten, die oft als geknackte Software oder Gaming-Cheats getarnt waren.

Nach monatelangen Ermittlungen meldete Check Point Research mehr als 3000 bösartige Videos an Google, was zu deren Entfernung und zur Störung eines wichtigen Malware-Vertriebskanals führte.

Einblick in das Youtube-Ghost-Network

 

Funktionsweise des Youtube.Ghost-Network (Quelle: Check Point Software Technologies).

 

Das Ghost Network ist keine zufällige Ansammlung von betrügerischen Uploads, sondern ein koordiniertes System aus gefälschten oder gekaperten Konten, die vertrauenswürdig erscheinen sollen.

Jeder Kontotyp spielt eine bestimmte Rolle:

  • Videokonten: Hochladen von Tutorial-Videos, die Links zum Herunterladen bösartiger Dateien enthalten.
  • Post-Konten: Veröffentlichen von Community-Beiträgen mit Passwörtern und aktualisierten Links.
  • Interaktionskonten: Veröffentlichen positiver Kommentare und Likes, um bösartige Videos als sicher erscheinen zu lassen.
Vermeintlich echte positive Kommentare zu einem Malware-Video.

Diese modulare Struktur ermöglicht eine schnelle Skalierung des Betriebs und das Bestehen gegen Account-Sperren, wodurch die Entfernung komplexer und kontinuierlicher wird.

„Bei dieser Operation wurden Vertrauenssignale, wie Aufrufe, Likes und Kommentare, ausgenutzt, um bösartige Inhalte als sicher erscheinen zu lassen“, sagt Eli Smadja, Security Research Group Manager bei Check Point Software Technologies. Weiter: „Was wie ein hilfreiches Tutorial aussieht, kann in Wirklichkeit eine raffinierte Cyber-Falle sein. Der Umfang, die Modularität und die Raffinesse dieses Netzwerks machen es zu einem Musterbeispiel dafür, wie Angreifer solche Engagement-Tools mittlerweile als Waffen einsetzen, um Malware zu verbreiten.“

Von geknackter Software bis zum Diebstahl von Zugangsdaten

  1. Ein auf Dropbox, Google Drive oder MediaFire liegendes Archiv herunterzuladen.
  2. Windows Defender vorübergehend zu deaktivieren.
  3. Die als legitime Software bezeichnete, in Wirklichkeit jedoch als Malware identifizierte Software zu extrahieren und zu installieren.
Phishing-Fälschung von Google-Sites.

Nach ihrer Ausführung exfiltrierten diese Infostealer verschiedene Anmeldedaten, Krypto-Währungs-Wallets und Systemdaten an Command-and-Control-Server, die häufig alle paar Tage wechselten, um einer Entdeckung zu entgehen.

Highlights der Kampagne:

  • Ein kompromittierter Youtube-Kanal mit 129 000 Abonnenten veröffentlichte eine geknackte Version von Adobe-Photoshop, die 291 000 Aufrufe und über 1000 Likes erreichte.
  • Ein weiterer kompromittierter Kanal richtete sich an Nutzer von Krypto-Währungen und leitete die Zuschauer auf Google Sites Phishing-Seiten weiter, auf denen der Rhadamanthys Stealer versteckt wurde.
  • Die Angreifer aktualisierten regelmäßig die Links und Payloads, wodurch auch nach teilweiser Entfernung anhaltende Infektionsketten ermöglicht wurden.

 

Störung und Abschaltung

Check Point Research hat diese Aktivitäten über ein Jahr lang verfolgt und dabei Tausende miteinander verbundene Konten und Kampagnen kartiert. Durch die direkte Zusammenarbeit mit Google hat Check Point Research die Entfernung von mehr als 3000 bösartigen Videos ermöglicht und damit eine der bislang skalierbarsten Methoden zur Verbreitung von Malware auf YouTube unterbunden.

Diese Arbeit zeigt, wie wichtig präventive Bedrohungsinformationen und die Zusammenarbeit zwischen Sicherheitsforschern und Plattformbetreibern sind. Durch die Identifizierung und Meldung dieser Kampagnen hat Check Point Research dazu beigetragen, Millionen potenzieller Opfer zu schützen und das Vertrauen in eine der weltweit meistgenutzten Plattformen wiederherzustellen.

Das große Ganze: Vertrauen als Ziel

Diese Kampagne spiegelt einen umfassenderen Wandel in der Strategie von Cyber-Kriminellen wider.

Im Gegensatz zu herkömmlichem Phishing sind diese Angriffe erfolgreich, weil sie authentisch erscheinen. Die Manipulation des Vertrauens in Plattformen stellt eine neue Dimension des Social Engineering dar. Hier wird der Anschein von Legitimität zu einer Waffe.

Schutzmaßnahmen:

Für Benutzer

  • Keine Software aus inoffiziellen oder geknackten Quellen herunterladen.
  • Antivirus-Schutz niemals auf Wunsch eines Installationsprogramms deaktivieren.
  • Beliebte „kostenlose” Software-Videos mit Skepsis betrachten.

Für Plattformen

  • Automatisierte Erkennung verdächtiger Interaktionsmuster verstärken.
  • Identifikation von Clustern verknüpfter Konten, die ähnliche URLs posten.
  • Partnerschaft mit Anbietern von Cyber-Sicherheitslösungen zur präventiven Beseitigung von Bedrohungen.

Schutzmaßnahmen von Check Point

Check Point Threat-Emulation und Harmony-Endpoint bieten Schutz vor den Infostealern Rhadamanthys und Lumma sowie den in dieser Kampagne identifizierten Lieferketten.

In Zusammenarbeit mit der Branche tragen diese Lösungen dazu bei, die Lücke zwischen Entdeckung und Unterbrechung zu schließen.

„In der heutigen Bedrohungslandschaft kann ein populär wirkendes Video genauso gefährlich sein wie eine Phishing-E-Mail“, fügt Smadja hinzu. „Diese Entdeckung zeigt, dass selbst vertrauenswürdige Plattformen nicht immun gegen Missbrauch sind, aber sie beweist auch, dass wir mit den richtigen Informationen und Partnerschaften dagegen vorgehen können.“

Info: Eine detaillierte technische Analyse und eine vollständige Liste der Kompromittierungsindikatoren finden sich im vollständigen Forschungsbericht von Check Point Research:
https://research.checkpoint.com/2025/youtube-ghost-network/

#CheckPoint

Tags:Check PointCheck Point ResearchCybersecurityCybersicherheitMalwareSchadcodeSecurityYoutubeYoutube-Ghost-Network

Weitere interessante Beiträge

load more