Check Point Research (CPR) hat nach eigenen Angaben ein koordiniertes „YouTube Ghost Network“ offengelegt, das seit 2021 kompromittierte und gefälschte Konten zur Verbreitung von Schadsoftware nutzte. In Zusammenarbeit mit Google seien über 3’000 bösartige Videos gemeldet und entfernt worden. Solche Kampagnen habe 2025 deutlich an Dynamik gewonnen.
Das Netzwerk funktionierte laut CPR arbeitsteilig: „Videokonten“ veröffentlichten scheinbar hilfreiche Tutorials, Software-Demos, Crack- und Cheat-Videos; „Post-Konten“ ergänzten Community-Beiträge mit Passwörtern und aktualisierten Links; „Interaktionskonten“ sorgten mit Likes und positiven Kommentaren für ein trügerisches Vertrauenssignal. Typische Muster umfassten verkürzte Links, Weiterleitungen zu Filehostern oder Phishing-Seiten, passwortgeschützte Archive sowie Installationshinweise, die Nutzer zum vorübergehenden Deaktivieren von Windows Defender verleiteten.
Verbreitet wurden vor allem Infostealer wie Rhadamanthys und Lumma. Nach der Störung von Lumma im Frühjahr 2025 sei der Fokus stärker auf Rhadamanthys gerückt. Die Schadsoftware zielte auf Zugangsdaten, Kryptowallets und Systeminformationen und wechselte die Command-and-Control-Server im Rhythmus weniger Tage, um Erkennungssysteme zu umgehen.
Kompromittierte Kanäle
CPR beschreibt mehrere kompromittierte Kanäle, darunter einen mit 129’000 Abonnenten, der eine „geknackte“ Version von Adobe-Software bewarb und 291’000 Aufrufe sowie über 1’000 Likes erzielte. Ein weiterer, zuvor legitimer Kanal lockte mit Krypto-Tools auf gefälschte Google-Sites-Seiten. Insgesamt identifizierten die Forscher über 3’000 einschlägige Videos; besonders häufig betroffen waren die Kategorien „Game Hacks/Cheats“ (etwa für Roblox) und „Software-Cracks/Piraterie“. Positive Kommentare unter den Videos stammten teils aus kompromittierten Profilen, um Seriosität zu simulieren.
„Bei dieser Operation wurden Vertrauenssignale wie Aufrufe, Likes und Kommentare ausgenutzt, um bösartige Inhalte als sicher erscheinen zu lassen“, erklärt Eli Smadja (Bild unten) , Security Research Group Manager bei Check Point Software Technologies. Weiter führt er aus: „Was wie ein hilfreiches Tutorial aussieht, kann in Wirklichkeit eine raffinierte Cyber-Falle sein. Der Umfang, die Modularität und die Raffinesse dieses Netzwerks machen es zu einem Musterbeispiel dafür, wie Angreifer solche Engagement-Tools mittlerweile als Waffen einsetzen, um Malware zu verbreiten.“
Die Forscher sprechen von einer modularen, austauschbaren Struktur, die das schnelle Ersetzen gesperrter Konten erlaubt. Das erschwere Takedowns und begünstige Skalierung. „Vertrauenssignale wie Aufrufe, Likes und Kommentare wurden gezielt instrumentalisiert, um bösartige Inhalte als harmlos erscheinen zu lassen“, so CPR sinngemäss. Diese Kampagne spiegelt einen umfassenderen Wandel in der Strategie von Cyber-Kriminellen wider.
Im Gegensatz zu herkömmlichem Phishing sind diese Angriffe erfolgreich, weil sie authentisch erscheinen. Die Manipulation des Vertrauens in Plattformen stellt eine neue Dimension des Social Engineering dar. Hier wird der Anschein von Legitimität zu einer Waffe.
Einordnung und Empfehlungen
Der Fall steht für einen breiteren Trend: Cyber-Kriminelle nutzen zunehmend soziale Plattformen und deren Engagement-Mechaniken als Distributionskanäle. Reputation-basierte Abwehr, automatisierte Scans und manuelle Prüfungen geraten an Grenzen, wenn Payloads und Infrastrukturen in kurzen Abständen rotieren.
Was Nutzer beachten sollten:
• Keine Software aus inoffiziellen, „kostenlosen“ oder geknackten Quellen laden.
• Sicherheitslösungen nie auf Aufforderung eines Installers deaktivieren.
• Bei Videos zu Cracks/Cheats bewusst skeptisch bleiben, auch bei vielen Likes.
• Betriebssystem, Browser und Schutzsoftware aktuell halten; 2-Faktor-Authentisierung.
• Unerwartete Passwort-Archive und verkürzte Links meiden.
Google selbst hat sich bislang nicht öffentlich zu den Takedowns geäussert; die Entfernungen erfolgten nach Meldungen durch Check Point Research im Rahmen der üblichen Meldemechanismen der Plattform. Insgesamt sehen die Forscher darin einen Trend, Interaktionsmechaniken sozialer Plattformen als skalierbare Distributionskanäle für Malware zu instrumentalisieren.
Eine detaillierte technische Analyse und eine Liste der Kompromittierungsindikatoren finden Sie im vollständigen Forschungsbericht von Check Point Research.
https://research.checkpoint.com/2025/youtube-ghost-network/
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter einer KI-gestützten, cloud-basierten Cyber-Sicherheitsplattform, die mehr als 100’000 Unternehmen weltweit schützt.
