Malware-Verteilung durch über 3.000 identifizierte YouTube Videos

Vor kurzem veröffentlichte Check Point Research eine umfassende Analyse einer bislang wenig beachteten aber hochgefährlichen Kampagne: dem YouTube Ghost Network . Dabei handelt es sich um ein koordiniertes Netzwerk aus gefälschten und kompromittierten YouTube-Kanälen, das Malware über vermeintlich harmlose Videos verteilt – ein Beispiel dafür, wie Cyberkriminelle zunehmend Plattform-Vertrauen und Engagement-Mechanismen für ihre Zwecke missbrauchen.

Was steckt hinter dem Netzwerk?

Das Ghost Network ist keine lose Ansammlung von zufälligen Videos, sondern eine systematische Operation mit klarer Arbeitsteilung und Zielsetzung.

Die Kernpunkte im Überblick:

• Die Forscher identifizierten über 3.000 bösartige Videos auf YouTube, die gezielt zur Malware-Distribution genutzt wurden.
• Der Fokus lag auf zwei großen Themenfeldern: „Game Hacks/Cheats“ und „Software Cracks/Piracy“. Die Opfer wurden über vermeintlich kostenlose Tools oder gehackte Versionen zu einem Download gelockt.
• Als Malware wurden vor allem sogenannte Infostealer eingesetzt – darunter Lumma Stealer und Rhadamanthys, mit denen Nutzerdaten, Zugangsdaten, Wallet-Informationen etc. abgegriffen wurden.
• Die Kampagne war bereits seit mindestens 2021 aktiv; auffällig ist, dass die Anzahl der Uploads in 2025 laut Check Point im Vergleich zu früheren Jahren dreifach angestiegen ist.

Aufbau & Taktik: Wie funktioniert das Netzwerk?

Die Angriffsmuster zeichnen sich durch eine klare Rollenverteilung und ausgefeilte Social-Engineering-Techniken aus:

1. Video-Accounts

   Diese Kanäle laden Videos hoch, die z. B. angeblich Hacks für beliebte Spiele oder kostenlose Vollversionen bekannter Software enthalten. In der Beschreibung oder im Kommentarbereich finden sich Download-Links und Passwörter für Archive.

2. Post-Accounts

   Sie verbreiten Community-Beiträge oder Posts bei YouTube, in denen auf aktuelle Links oder Passwörter verwiesen wird – parallel zur Video-Veröffentlichung werden so zusätzliche Verbreitungs- und Vertrauenskanäle aufgebaut.

3. Interact-Accounts

   Diese Konten liken, kommentieren und engagieren sich gezielt unter den Videos – häufig mit positivem Feedback wie „funktioniert super!“ oder „bestes Tool ever!“ –, wodurch das bösartige Angebot als vermeintlich legitim wahrgenommen wird.

Dabei wurden Passwort-geschützte Archive erstellt, damit automatisierte Scanner den Inhalt nicht prüfen konnten. Zudem wurden die Dienste von Dropbox, Google Drive, MediaFire oder Google Sites genutzt, um die Payloads zu verteilen.

Beispiele aus der Analyse

• Ein kompromittierter Kanal mit rund 129.000 Abonnenten veröffentlichte eine „crackte“ Version von Adobe Photoshop, erreichte über 291.000 Views und 54 Kommentare – alles unter dem Vorwand des vermeintlich kostenlosen Downloads.
• Ein anderer Fall: Ein Kanal mit rund 9.690 Abonnenten rührte klassische „Kryptosoftware“ oder Gaming-Angebote an, verlinkte zu einer Google Sites-Phishingseite und lieferte den Stealer-Payload über eine Archivdatei.
• In einem Fall wanderte die C2-Infrastruktur (Command-and-Control) binnen kurzer Zeit von einem Server zur nächsten IP-Adresse – eine klare Strategie zur Umgehung von Erkennungsmechanismen.

Welche Gefahren bestehen konkret?

Die Analyse zeigt auf, dass dies Kampagne kein „normaler“ Malware-Hack, sondern ein hochskalierter Angriff auf Plattform-Mechanismen und dem bestehenden Nutzer-Vertrauen war.

• Wer eine solche „kostenlose Vollversion“ oder einen „Hack“ installierte, öffnete potenziell Türen zu seinen Zugangsdaten, Browser-Cookies, Kryptowallets oder anderen sensiblen Daten.
• Die Infrastruktur war so ausgelegt, dass sie trotz Takedowns weiterarbeiten konnte – ein Kanal wurde gesperrt, ein anderer übernahm. Das machte die Bekämpfung arbeitsintensiv.
• Der soziale Aspekt („Likes“, Kommentare, hohe View-Zahlen) verstärkte das Vertrauen des Nutzers in die vermeintliche Legitimität – und genau das wurde gezielt ausgenutzt.
• Plattformen wie YouTube gelten oft als „vertrauenswürdige“ Umgebung – genau diese Wahrnehmung wurde missbraucht.

Was wurde erreicht – und was muss nun passieren?

Dank der Meldung von Check Point Research wurden über 3.000 bösartige Videos identifiziert und zur Löschung gemeldet. Die Zusammenarbeit mit Plattform-Betreibern wie YouTube/Google zeigt, dass ein solcher Angriff zwar rückwirkend aufgedeckt werden kann, aber auch: Der Nachwuchs der Taktiken wird zunehmend raffinierter.

Für die Zukunft sind folgende Aspekte entscheidend:

• Plattformbetreiber müssen Engagement-Manipulationen (Fake Likes, Comment-Boosting) sowie Konto-Netzwerke besser erkennen und automatisiert unterbinden.
• Sicherheitsanbieter müssen die neuen Distributionsmuster – Kombination von Videos, Downloads, Archiv-Tricks – in ihre Erkennungsmechanismen integrieren.
• Nutzeraufklärung bleibt ein zentraler Baustein: Wer auf der Suche nach „kostenloser“ Software oder Hacks ist, sollte misstrauisch sein. Nie Legitimität über Likes oder Kommentarzahlen beweisen lassen.
• Regulatorische bzw. marktübergreifende Kooperation: Plattformen, Sicherheitsfirmen und Ermittlungsbehörden müssen besser vernetzt sein, um solche Netzwerke frühzeitig zu erkennen und zu unterbinden.

Fazit

Das YouTube Ghost Network zeigt eindrucksvoll, wie Cyberkriminelle längst nicht mehr nur klassische Phishing-Mails oder Websites einsetzen, sondern vertrauenswürdige Plattformen wie YouTube als Vehikel für ihre Angriffe nutzen. Die Arbeit von Check Point Research macht eine Wandlung im Bedrohungsszenario klar: Plattform-Vertrauen, soziale Interaktionen und scheinbare Nutzer-Generierung können gezielt missbraucht werden. Wer „kostenlose Versionen“, „Hacks“, „Cracks“ sucht – läuft Gefahr, nicht nur Software herunterzuladen, sondern seine eigene Sicherheit zu gefährden.

Für Unternehmen und Privatanwender gilt: Misstrauen ist kein guter Starting-Point, aber gesunder Skeptizismus kann entscheidend sein. Bevor man eine Anleitung, ein „Free-Tool“, eine „Crack-Version“ aktiviert, lohnt sich ein prüfender Blick – und im Zweifel ein sauberer Bezugsweg.