4. Dezember 2025

Das YouTube-Geisternetzwerk

Der Sicherheitsanbieter Check Point hat über ein Jahr lang dabei geholfen, eine hochskalierbare Hacker-Kampagne zu beobachten und abzuschalten und damit dazu beigetragen, 3.000 bösartige Videos zu entfernen, die Malware verbreitet haben. [...]

Das YouTube Ghost Network nutzte kompromittierte und gefälschte YouTube-Konten, um Infostealer wie Rhadamanthys und Lumma zu verbreiten, die oft als geknackte Software oder Gaming-Cheats getarnt waren. (c) stock.adobe.com/Dlomiro

Check Point Software Technologies hat ein groß angelegtes Cyber-Netzwerk aufgedeckt, das sich in einem der vertrauenswürdigsten Bereiche des Internets versteckte: YouTube. Was wie harmlose Tutorials und Software-Demos aussah, entpuppte sich als ausgeklügeltes Netzwerk zur Verbreitung von Malware, bekannt als das „YouTube Ghost Network“.

Die Operation nutzte kompromittierte und gefälschte YouTube-Konten, um Infostealer wie Rhadamanthys und Lumma zu verbreiten, die oft als geknackte Software oder Gaming-Cheats getarnt waren. Nach monatelangen Ermittlungen meldete Check Point Research mehr als 3.000 bösartige Videos an Google, was zu deren Entfernung und zur Störung eines wichtigen Malware-Vertriebskanals führte. Eine detaillierte technische Analyse bietet der vollständige Forschungsbericht von Check Point Research.

Die Eckpunkte

Check Point Research deckte das YouTube Ghost Network auf, eine groß angelegte Malware-Verbreitungsaktion, bei der gefälschte und kompromittierte YouTube-Konten verwendet wurden, um Infostealer wie Rhadamanthys und Lumma zu verbreiten.
Mehr als 3.000 bösartige Videos wurden identifiziert und entfernt, nachdem sie von Check Point Research gemeldet worden waren, wodurch eine der größten Malware-Aktivitäten auf YouTube unterbunden wurde.
Die Operation stützte sich auf geknackte Software und Game-Hack-Videos, um Opfer zum Herunterladen passwortgeschützter Archive mit Malware zu verleiten.
Gekaperte Konten wurden verwendet, um Videos zu posten, Links zu teilen und Kommentarbereiche mit gefälschten Empfehlungen zu überschwemmen, wodurch ein falsches Gefühl des Vertrauens geschaffen wurde.
Die Untersuchung zeigt einen wachsenden Trend, dass Cyberkriminelle soziale Plattformen und Engagement-Tools nutzen, um Malware in großem Umfang zu verbreiten.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Einblick in das YouTube Ghost Network

Das Ghost Network ist keine zufällige Ansammlung von betrügerischen Uploads, sondern ein koordiniertes System aus gefälschten oder gekaperten Konten, die vertrauenswürdig erscheinen sollen. Diese modulare Struktur ermöglicht eine schnelle Skalierung des Betriebs und das Bestehen gegen Account-Sperren, wodurch die Entfernung komplexer und kontinuierlicher wird. Jeder Kontotyp spielt dabei eine bestimmte Rolle:

Videokonten: Hochladen von Tutorial-Videos, die Links zum Herunterladen bösartiger Dateien enthalten.
Post-Konten: Veröffentlichen von Community-Beiträgen mit Passwörtern und aktualisierten Links.
Interaktionskonten: Veröffentlichen positiver Kommentare und Likes, um bösartige Videos als sicher erscheinen zu lassen.

*Abbildung 1: Funktionsweise des YouTube Ghost Network. (c) Check Point Software Technologies*

„Bei dieser Operation wurden Vertrauenssignale, wie Aufrufe, Likes und Kommentare, ausgenutzt, um bösartige Inhalte als sicher erscheinen zu lassen“, sagt Eli Smadja, Security Research Group Manager bei Check Point Software Technologies. Weiter: „Was wie ein hilfreiches Tutorial aussieht, kann in Wirklichkeit eine raffinierte Cyber-Falle sein. Der Umfang, die Modularität und die Raffinesse dieses Netzwerks machen es zu einem Musterbeispiel dafür, wie Angreifer solche Engagement-Tools mittlerweile als Waffen einsetzen, um Malware zu verbreiten.“

Von geknackter Software bis zum Diebstahl von Zugangsdaten

Nach ihrer Ausführung exfiltrierten diese Infostealer verschiedene Anmeldedaten, Krypto-Währungs-Wallets und Systemdaten an Command-and-Control-Server, die häufig alle paar Tage wechselten, um einer Entdeckung zu entgehen. User werden mit folgenden Anweisungen dazu gebracht, „mitzuhelfen“:

Ein auf Dropbox, Google Drive oder MediaFire liegendes Archiv herunterzuladen.
Windows Defender vorübergehend zu deaktivieren.
Die als legitime Software bezeichnete, in Wirklichkeit jedoch als Malware identifizierte Software zu extrahieren und zu installieren.

*Abbildung 2: Phishing-Fälschung von Google Sites. (c) Check Point Software Technologies*

Highlights der Kampagne

Ein kompromittierter YouTube-Kanal mit 129.000 Abonnenten veröffentlichte eine geknackte Version von Adobe Photoshop, die 291.000 Aufrufe und über 1.000 Likes erreichte.
Ein weiterer kompromittierter Kanal richtete sich an Nutzer von Krypto-Währungen und leitete die Zuschauer auf Google Sites Phishing-Seiten weiter, auf denen der Rhadamanthys Stealer versteckt wurde.
Die Angreifer aktualisierten regelmäßig die Links und Payloads, wodurch auch nach teilweiser Entfernung anhaltende Infektionsketten ermöglicht wurden.

Störung und Abschaltung

Check Point Research hat diese Aktivitäten über ein Jahr lang verfolgt und dabei Tausende miteinander verbundene Konten und Kampagnen kartiert. Durch die direkte Zusammenarbeit mit Google hat Check Point Research die Entfernung von mehr als 3.000 bösartigen Videos ermöglicht und damit eine der bislang skalierbarsten Methoden zur Verbreitung von Malware auf YouTube unterbunden.

*Abbildung 3: Auch aus Deutschland wurden verseuchte Dateien hochgeladen. (c) Check Point Software Technologies*

Diese Arbeit zeigt, wie wichtig präventive Bedrohungsinformationen und die Zusammenarbeit zwischen Sicherheitsforschern und Plattformbetreibern sind. Durch die Identifizierung und Meldung dieser Kampagnen hat Check Point Research dazu beigetragen, Millionen potenzieller Opfer zu schützen und das Vertrauen in eine der weltweit meistgenutzten Plattformen wiederherzustellen.

Das große Ganze: Vertrauen als Ziel

Diese Kampagne spiegelt einen umfassenderen Wandel in der Strategie von Cyberkriminellen wider. Im Gegensatz zu herkömmlichem Phishing sind diese Angriffe erfolgreich, weil sie authentisch erscheinen. Die Manipulation des Vertrauens in Plattformen stellt eine neue Dimension des Social Engineering dar. Hier wird der Anschein von Legitimität zu einer Waffe.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Schutzmaßnahmen

Für Benutzer:

Keine Software aus inoffiziellen oder geknackten Quellen herunterladen.
Antivirus-Schutz niemals auf Wunsch eines Installationsprogramms deaktivieren.
Beliebte „kostenlose” Software-Videos mit Skepsis betrachten.

Für Plattformen:

Automatisierte Erkennung verdächtiger Interaktionsmuster verstärken.
Identifikation von Clustern verknüpfter Konten, die ähnliche URLs posten.
Partnerschaft mit Anbietern von Cybersicherheitslösungen zur präventiven Beseitigung von Bedrohungen.

Eli Smadja ist Security Research Group Manager bei Check Point Software Technologies. (c) Check Point Software Technologies

„In der heutigen Bedrohungslandschaft kann ein populär wirkendes Video genauso gefährlich sein wie eine Phishing-E-Mail“, fügt Smadja hinzu. „Diese Entdeckung zeigt, dass selbst vertrauenswürdige Plattformen nicht immun gegen Missbrauch sind, aber sie beweist auch, dass wir mit den richtigen Informationen und Partnerschaften dagegen vorgehen können.“

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Künstliche Intelligenz: Dateninfrastruktur ist wichtiger als der Use Case

4. Dezember 2025

Damit KI-Anwendungen produktiv und skalierbar eingesetzt werden können, benötigen Unternehmen zunächst eine tragfähige technologische und organisatorische Basis. Insbesondere moderne Datenplattformen, klare Governance-Strukturen und eine hohe Datenqualität gelten als Voraussetzung für erfolgreiche KI-Nutzung. Aber genau hier besteht noch Nachholbedarf. […]

Diese Trends bestimmen 2026 das SAP-Universum

4. Dezember 2025

Vor allem Datensouveränität, Compliance und das nahende Ende des Supports für Legacy-Lösungen stehen im Fokus – neben den Dauerthemen Cloud und KI. […]

Rebranding: Tietoevry schlägt mit „Tieto“ ein neues Kapitel auf

4. Dezember 2025

Die neue Marke vereint den operativen Kern des Tech-Consulting-Dienstleisters und bekräftigt sein Engagement, Wirtschaft und Gesellschaft mit Technologie zu unterstützen. […]

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Monitor Eizo FlexScan EV2740S im Test

4. Dezember 2025 Daniel Bader *

Was soll denn an einem 27 Zoll großen Monitor für Büroumgebungen schon besonders sein? Vieles, wie unser Test klar macht. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen. Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Internet für Alle: WienIT zeigt, wie Barrierefreiheit im Web funktioniert

3. Dezember 2025

760.000 Personen sind in Österreich als Menschen mit Behinderung registriert, 1,9 Millionen Menschen leben mit Einschränkungen bei Aktivitäten im Alltag. Dennoch erfüllen laut einer Studie von Ernst & Young Austria nur zwei Prozent aller Websites die seit Juni geltenden Barrierefreiheitsstandards. […]

Das YouTube-Geisternetzwerk

Der Sicherheitsanbieter Check Point hat über ein Jahr lang dabei geholfen, eine hochskalierbare Hacker-Kampagne zu beobachten und abzuschalten und damit dazu beigetragen, 3.000 bösartige Videos zu entfernen, die Malware verbreitet haben. [...]

Die Eckpunkte

Einblick in das YouTube Ghost Network

Von geknackter Software bis zum Diebstahl von Zugangsdaten

Highlights der Kampagne

Störung und Abschaltung

Das große Ganze: Vertrauen als Ziel

Schutzmaßnahmen

Mehr Artikel

Künstliche Intelligenz: Dateninfrastruktur ist wichtiger als der Use Case

Diese Trends bestimmen 2026 das SAP-Universum

Rebranding: Tietoevry schlägt mit „Tieto“ ein neues Kapitel auf

Produktionsplanung 2026: Worauf es ankommt

Monitor Eizo FlexScan EV2740S im Test

tarife.at ab 2026 mit neuer Geschäftsführung

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

Windows 11 im Außendienst: Plattform für stabile Prozesse

Internet für Alle: WienIT zeigt, wie Barrierefreiheit im Web funktioniert

Be the first to comment

Leave a Reply Antwort abbrechen