Ein internationales Forschungsteam von Check Point Software Technologies hat ein groß angelegtes Netzwerk bösartiger YouTube-Videos aufgedeckt. Über ein Jahr lang verfolgten die Expertinnen und Experten die Aktivitäten von Cyber-Kriminellen, die über gefälschte Konten Infostealer-Malware verbreiteten – und halfen schließlich, mehr als 3.000 Videos zu entfernen.
Was wie harmlose Software-Tutorials oder Gaming-Hacks aussah, entpuppte sich als komplexes Cyber-Netzwerk mit erheblichem Schadpotenzial. Die Sicherheitsforscherinnen und -forscher von Check Point Research (CPR) haben eine international koordinierte Kampagne aufgedeckt, die über YouTube Malware verbreitete. Unter dem Namen YouTube Ghost Network beschreibt die Analyse eine der bislang größten enttarnten Malware-Verbreitungen auf der Plattform.
Über mehr als ein Jahr hinweg verfolgten die Expertinnen und Experten die Aktivitäten der Angreifer. Sie dokumentierten, wie kompromittierte und gefälschte YouTube-Konten in großem Stil eingesetzt wurden, um Schadsoftware zu verbreiten, die sensible Zugangsdaten, Kryptowährungs-Wallets und Systeminformationen ausspäht. Die Videos tarnten sich als nützliche Tutorials, Software-Downloads oder Cheats für beliebte Games – und erzeugten durch tausende Likes und Kommentare ein trügerisches Gefühl von Sicherheit.
Diese Form des Angriffs markiert einen strategischen Wandel: Statt offensichtlicher Phishing-Mails setzen Cyber-Kriminelle zunehmend auf soziale Plattformen und auf das Vertrauen der Nutzer in bekannte Marken und Interaktionssignale. Das Ergebnis ist ein System, das auf den ersten Blick wie typischer YouTube-Content wirkt, tatsächlich aber ein hochorganisiertes, skalierbares Ökosystem zur Verbreitung von Infostealer-Malware darstellt.
Eine schematische Darstellung zeigt den Aufbau und die Funktionsweise des Netzwerks (siehe Abbildung 1).
Abbildung 1: Funktionsweise des YouTube Ghost Network – Zusammenspiel von Videokonten, Posts und Interaktionsprofilen. (Quelle: Check Point Research)
Das YouTube Ghost Network bestand nicht aus vereinzelten Betrugsversuchen, sondern aus einem modular aufgebauten System verschiedener Kontotypen.
Videokonten luden Tutorials oder angebliche Software-Demos hoch, die Links zu passwortgeschützten Archiven mit Schadsoftware enthielten.
Post-Konten veröffentlichten Community-Beiträge mit Passwörtern und aktualisierten Download-Links.
Interaktionskonten sorgten durch Likes und positive Kommentare für den Anschein von Legitimität.
Wie solche gefälschten Interaktionen aussehen können, zeigt Abbildung 2.
Abbildung 2: Positive Kommentare und Likes täuschten Echtheit und Sicherheit der bösartigen Videos vor. (Quelle: Check Point Research)
Diese Struktur erlaubte es den Betreibern, ihre Aktivitäten schnell zu skalieren und Sperrungen einzelner Accounts zu umgehen. Nach Angaben von Check Point Research wurden bei der Operation vor allem Infostealer wie Rhadamanthys und Lumma verbreitet – oft getarnt als „geknackte“ Software oder Gaming-Cheats.
Ein besonders populäres Beispiel war ein kompromittierter YouTube-Kanal mit 129.000 Abonnenten, der eine angeblich kostenlose Version von Adobe Photoshop anbot. Das Video erreichte über 291.000 Aufrufe und mehr als 1.000 Likes.
Ein weiterer Kanal richtete sich an Krypto-Enthusiasten und führte über gefälschte Google-Sites-Seiten zur Verteilung des Rhadamanthys-Stealers. Die Angreifer wechselten regelmäßig die Links und Schad-Payloads, um nach Löschungen weiter aktiv bleiben zu können.
Die Nachahmung einer Google-Site ist in der Analyse dokumentiert (siehe Abbildung 3).
Abbildung 3: Phishing-Fälschung einer Google-Site, über die Zuschauer auf die Malware-Payload geleitet wurden. (Quelle: Check Point Research)
Nach der Installation exfiltrierten die Schadprogramme Zugangsdaten, Wallet-Informationen und Systemdaten an wechselnde Command-and-Control-Server.
Check Point Research verfolgte die Aktivitäten des Ghost Network über ein Jahr hinweg. Die Forscherinnen und Forscher kartierten dabei Tausende verknüpfte Konten und Kampagnen. In direkter Zusammenarbeit mit Google führte die Analyse schließlich zur Entfernung von über 3.000 bösartigen Videos und zur Störung eines bedeutenden Malware-Vertriebskanals.
Auch Uploads aus Deutschland sind dokumentiert (siehe Abbildung 4).
Abbildung 4: Beispielhafter Hinweis auf Uploads aus Deutschland im Rahmen der Kampagne. (Quelle: Check Point Research)
Eli Smadja, Security Research Group Manager bei Check Point Software Technologies, betonte: „Bei dieser Operation wurden Vertrauenssignale wie Aufrufe, Likes und Kommentare ausgenutzt, um bösartige Inhalte als sicher erscheinen zu lassen. Was wie ein hilfreiches Tutorial aussieht, kann in Wirklichkeit eine raffinierte Cyber-Falle sein.“
Die Untersuchung verdeutlicht eine Entwicklung im Cybercrime-Bereich: Anstelle klassischer Phishing-Mails nutzen Angreifer zunehmend soziale Plattformen und Engagement-Mechanismen, um ein trügerisches Vertrauen aufzubauen. Der vermeintlich authentische Charakter solcher Inhalte erhöht die Erfolgsquote erheblich – und stellt Plattformbetreiber vor neue Herausforderungen.
Smadja fasst zusammen: „In der heutigen Bedrohungslandschaft kann ein populär wirkendes Video genauso gefährlich sein wie eine Phishing-E-Mail. Selbst vertrauenswürdige Plattformen sind nicht immun gegen Missbrauch – aber Kooperation und Information können entscheidend zur Eindämmung beitragen.“
Check Point Research gibt im Bericht auch Hinweise zum Schutz vor ähnlichen Angriffen:
Für Benutzer:
Keine Software aus inoffiziellen oder „geknackten“ Quellen herunterladen.
Antivirus-Programme nicht auf Wunsch eines Installationsprogramms deaktivieren.
Auffällig „kostenlose“ oder besonders populäre Softwarevideos mit Skepsis betrachten.
Für Plattformen:
Automatisierte Erkennungsmechanismen für verdächtige Interaktionsmuster stärken.
Netzwerke verknüpfter Konten frühzeitig identifizieren.
Enger mit Sicherheitsanbietern zusammenarbeiten, um Bedrohungen präventiv zu erkennen.
Eine detaillierte technische Analyse sowie eine vollständige Liste der Indikatoren für Kompromittierungen stellt Check Point Research im vollständigen Bericht zur Verfügung.
