Die Security-Spezialistin Check Point hat ein gross angelegtes Cyber-Netzwerk aufgedeckt, das sich in einem der vertrauenswürdigsten Bereiche des Internets versteckte: Youtube. Was wie harmlose Tutorials und Software-Demos aussah, entpuppte sich als ausgeklügeltes Netzwerk zur Verbreitung von Malware, bekannt als das "Youtube Ghost Network". Dahinter verbirgt sich eine gross angelegte Malware-Verbreitungsaktion, bei der gefälschte und kompromittierte Youtube-Konten verwendet wurden, um Infostealer wie Rhadamanthys und Lumma zu verbreiten.
Insgesamt seien mehr als 3‘000 bösartige Videos identifiziert und entfernt worden, nachdem sie von Check Point Research gemeldet worden waren, heisst es. Wodurch eine der grössten Malware-Aktivitäten auf Youtube unterbunden worden sei. Die Operation stützte sich den Angaben zufolge auf geknackte Software und Game-Hack-Videos, um Opfer zum Herunterladen passwortgeschützter Archive mit Malware zu verleiten. Gekaperte Konten wurden verwendet, um Videos zu posten, Links zu teilen und Kommentarbereiche mit gefälschten Empfehlungen zu überschwemmen, wodurch ein falsches Gefühl des Vertrauens geschaffen wurde.
Die Untersuchung zeige einen wachsenden Trend, dass Cyber-Kriminelle soziale Plattformen und Engagement-Tools nutzen, um Malware in grossem Umfang zu verbreiten, betont Check Point.
Die Operation nutzte demnach kompromittierte und gefälschte Youtube-Konten, um Infostealer wie Rhadamanthys und Lumma zu verbreiten, die oft als geknackte Software oder Gaming-Cheats getarnt waren. Eine detaillierte technische Analyse bietet der vollständige Forschungsbericht von Check Point Research: https://research.checkpoint.com/2025/youtube-ghost-network
Das Ghost Network ist keine zufällige Ansammlung von betrügerischen Uploads, sondern ein koordiniertes System aus gefälschten oder gekaperten Konten, die vertrauenswürdig erscheinen sollen. Wobei jeder Kontotyp eine bestimmte Rolle spielt:
- Videokonten: Hochladen von Tutorial-Videos, die Links zum Herunterladen bösartiger Dateien enthalten.
-- Post-Konten: Veröffentlichen von Community-Beiträgen mit Passwörtern und aktualisierten Links.
-- Interaktionskonten: Veröffentlichen positiver Kommentare und Likes, um bösartige Videos als sicher erscheinen zu lassen.
Diese modulare Struktur ermöglicht eine schnelle Skalierung des Betriebs und das Bestehen gegen Account-Sperren, wodurch die Entfernung komplexer und kontinuierlicher wird. "Bei dieser Operation wurden Vertrauenssignale, wie Aufrufe, Likes und Kommentare, ausgenutzt, um bösartige Inhalte als sicher erscheinen zu lassen", sagt Eli Smadja, Security Research Group Manager bei Check Point Software Technologies. Weiter: "Was wie ein hilfreiches Tutorial aussieht, kann in Wirklichkeit eine raffinierte Cyber-Falle sein. Der Umfang, die Modularität und die Raffinesse dieses Netzwerks machen es zu einem Musterbeispiel dafür, wie Angreifer solche Engagement-Tools mittlerweile als Waffen einsetzen, um Malware zu verbreiten."
Von geknackter Software bis zum Diebstahl von Zugangsdaten gehört vieles dazu. Etwa:
-- Ein auf Dropbox, Google Drive oder MediaFire liegendes Archiv herunterzuladen.
-- Windows Defender vorübergehend zu deaktivieren.
-- Die als legitime Software bezeichnete, in Wirklichkeit jedoch als Malware identifizierte Software zu extrahieren und zu installieren.
Nach ihrer Ausführung exfiltrierten diese Infostealer verschiedene Anmeldedaten, Krypto-Währungs-Wallets und Systemdaten an Command-and-Control-Server, die häufig alle paar Tage wechselten, um einer Entdeckung zu entgehen.
Die Highlights der Kampagne:
-- Ein kompromittierter Youtube-Kanal mit 129’000 Abonnenten veröffentlichte eine geknackte Version von Adobe Photoshop, die 291’000 Aufrufe und über 1’000 Likes erreichte.
-- Ein weiterer kompromittierter Kanal richtete sich an Nutzer von Krypto-Währungen und leitete die Zuschauer auf Google Sites Phishing-Seiten weiter, auf denen der Rhadamanthys Stealer versteckt wurde.
-- Die Angreifer aktualisierten regelmässig die Links und Payloads, wodurch auch nach teilweiser Entfernung anhaltende Infektionsketten ermöglicht wurden.
Störung und Abschaltung:
Check Point Research hat diese Aktivitäten über ein Jahr lang verfolgt und dabei Tausende miteinander verbundene Konten und Kampagnen kartiert. Durch die direkte Zusammenarbeit mit Google hat Check Point Research die Entfernung von mehr als 3’000 bösartigen Videos ermöglicht und damit eine der bislang skalierbarsten Methoden zur Verbreitung von Malware auf Youtube unterbunden.
Diese Arbeit zeigt laut Check Point, wie wichtig präventive Bedrohungsinformationen und die Zusammenarbeit zwischen Sicherheitsforschern und Plattformbetreibern seien. Durch die Identifizierung und Meldung dieser Kampagnen habe Check Point Research dazu beigetragen, Millionen potenzieller Opfer zu schützen und das Vertrauen in eine der weltweit meistgenutzten Plattformen wiederherzustellen.
Im Gegensatz zu herkömmlichem Phishing seien diese Angriffe erfolgreich, weil sie authentisch erscheinen. Die Manipulation des Vertrauens in Plattformen stellt eine neue Dimension des Social Engineering dar. Hier wird der Anschein von Legitimität zu einer Waffe.
Schutzmassnahmen:
Für Benutzer:
-- Keine Software aus inoffiziellen oder geknackten Quellen herunterladen.
-- Antivirus-Schutz niemals auf Wunsch eines Installationsprogramms deaktivieren.
-- Beliebte "kostenlose" Software-Videos mit Skepsis betrachten.
Für Plattformen:
-- Automatisierte Erkennung verdächtiger Interaktionsmuster verstärken.
-- Identifikation von Clustern verknüpfter Konten, die ähnliche URLs posten.
-- Partnerschaft mit Anbietern von Cyber-Sicherheitslösungen zur präventiven Beseitigung von Bedrohungen.
