YouTube Geisternetzwerk: Check Point entfernt 3000 bösartige Videos

Check Point Software Technologies GmbH Check Point Software Technologies GmbH   |
  • Malware
  • Einsteiger
YouTube Geisternetzwerk: Check Point entfernt 3000 bösartige Videos.

YouTube Geisternetzwerk: Check Point entfernt 3000 bösartige Videos.

Über ein Jahr lang haben die Sicherheitsforscher von Check Point dabei geholfen, das GhostNetwork lahmzulegen, welches mittels Youtube Videos Malware verbreitet hat. Mehr als 3000 Videos konnten abgeschaltet werden. Hochgeladen wurden sie aus vielen Ländern, auch aus Deutschland.

Zusammenfassung (TL; DR):

  • Check Point Research deckte das YouTube Ghost Network auf
  • Die Operation stützte sich auf geknackte Software und Game-Hack-Videos
  • Trend: Cyber-Kriminelle nutzen soziale Plattformen und Engagement-Tools nutzen

Check Point Software hat ein groß angelegtes Cyber-Netzwerk aufgedeckt, das sich in einem der vertrauenswürdigsten Bereiche des Internets versteckte: YouTube. Was wie harmlose Tutorials und Software-Demos aussah, entpuppte sich als ausgeklügeltes Netzwerk zur Verbreitung von Malware, bekannt als das YouTube Ghost Network. Zusammengefasst:

  • Check Point Research deckte das YouTube Ghost Network auf, eine groß angelegte Malware-Verbreitungsaktion, bei der gefälschte und kompromittierte YouTube-Konten verwendet wurden, um Infostealer wie Rhadamanthys und Lumma zu verbreiten.
  • Mehr als 3000 bösartige Videos wurden identifiziert und entfernt, nachdem sie von Check Point Research gemeldet worden waren, wodurch eine der größten Malware-Aktivitäten auf YouTube unterbunden wurde.
  • Die Operation stützte sich auf geknackte Software und Game-Hack-Videos, um Opfer zum Herunterladen passwortgeschützter Archive mit Malware zu verleiten.
  • Gekaperte Konten wurden verwendet, um Videos zu posten, Links zu teilen und Kommentarbereiche mit gefälschten Empfehlungen zu überschwemmen, wodurch ein falsches Gefühl des Vertrauens geschaffen wurde.
  • Die Untersuchung zeigt einen wachsenden Trend, dass Cyber-Kriminelle soziale Plattformen und Engagement-Tools nutzen, um Malware in großem Umfang zu verbreiten.
  • Die Operation nutzte kompromittierte und gefälschte YouTube-Konten, um Infostealer wie Rhadamanthys und Lumma zu verbreiten, die oft als geknackte Software oder Gaming-Cheats getarnt waren.

Einblick in das YouTube Ghost Network

YouTube Geisternetzwerk: Check Point entfernt 3000 bösartige Videos.
Funktionsweise des YouTube Ghost Network (@Check Point)

Das Ghost Network ist keine zufällige Ansammlung von betrügerischen Uploads, sondern ein koordiniertes System aus gefälschten oder gekaperten Konten, die vertrauenswürdig erscheinen sollen.

Jeder Kontotyp spielt eine bestimmte Rolle:

  • Videokonten: Hochladen von Tutorial-Videos, die Links zum Herunterladen bösartiger Dateien enthalten.
  • Post-Konten: Veröffentlichen von Community-Beiträgen mit Passwörtern und aktualisierten Links.
  • Interaktionskonten: Veröffentlichen positiver Kommentare und Likes, um bösartige Videos als sicher erscheinen zu lassen.
Vermeintlich echte positive Kommentare zu einem Malware-Video (@Check Point)

Diese modulare Struktur ermöglicht eine schnelle Skalierung des Betriebs und das Bestehen gegen Account-Sperren, wodurch die Entfernung komplexer und kontinuierlicher wird.

„Bei dieser Operation wurden Vertrauenssignale, wie Aufrufe, Likes und Kommentare, ausgenutzt, um bösartige Inhalte als sicher erscheinen zu lassen“, sagt Eli Smadja, Security Research Group Manager bei Check Point Software Technologies. Weiter: „Was wie ein hilfreiches Tutorial aussieht, kann in Wirklichkeit eine raffinierte Cyber-Falle sein. Der Umfang, die Modularität und die Raffinesse dieses Netzwerks machen es zu einem Musterbeispiel dafür, wie Angreifer solche Engagement-Tools mittlerweile als Waffen einsetzen, um Malware zu verbreiten.“

Von geknackter Software bis zum Diebstahl von Zugangsdaten

Die als legitime Software bezeichnete, in Wirklichkeit jedoch als Malware identifizierte Software zu extrahieren und zu installieren.

YouTube Geisternetzwerk: Check Point entfernt 3000 bösartige Videos.
Phishing-Fälschung von Google Sites (@Check Point)

Nach ihrer Ausführung exfiltrierten diese Infostealer verschiedene Anmeldedaten, Krypto-Währungs-Wallets und Systemdaten an Command-and-Control-Server, die häufig alle paar Tage wechselten, um einer Entdeckung zu entgehen.

Highlights der Kampagne

  • Ein kompromittierter YouTube-Kanal mit 129 000 Abonnenten veröffentlichte eine geknackte Version von Adobe Photoshop, die 291 000 Aufrufe und über 1000 Likes erreichte.
  • Ein weiterer kompromittierter Kanal richtete sich an Nutzer von Krypto-Währungen und leitete die Zuschauer auf Google Sites Phishing-Seiten weiter, auf denen der Rhadamanthys Stealer versteckt wurde.
  • Die Angreifer aktualisierten regelmäßig die Links und Payloads, wodurch auch nach teilweiser Entfernung anhaltende Infektionsketten ermöglicht wurden.

Störung und Abschaltung

Check Point Research hat diese Aktivitäten über ein Jahr lang verfolgt und dabei Tausende miteinander verbundene Konten und Kampagnen kartiert. Durch die direkte Zusammenarbeit mit Google hat Check Point Research die Entfernung von mehr als 3000 bösartigen Videos ermöglicht und damit eine der bislang skalierbarsten Methoden zur Verbreitung von Malware auf YouTube unterbunden.

Auch aus Deutschland wurden verseuchte Dateien hochgeladen (@Check Point)

Diese Arbeit zeigt, wie wichtig präventive Bedrohungsinformationen und die Zusammenarbeit zwischen Sicherheitsforschern und Plattformbetreibern sind. Durch die Identifizierung und Meldung dieser Kampagnen hat Check Point Research dazu beigetragen, Millionen potenzieller Opfer zu schützen und das Vertrauen in eine der weltweit meistgenutzten Plattformen wiederherzustellen.

Das große Ganze: Vertrauen als Ziel

Diese Kampagne spiegelt einen umfassenderen Wandel in der Strategie von Cyber-Kriminellen wider.

Im Gegensatz zu herkömmlichem Phishing sind diese Angriffe erfolgreich, weil sie authentisch erscheinen. Die Manipulation des Vertrauens in Plattformen stellt eine neue Dimension des Social Engineering dar. Hier wird der Anschein von Legitimität zu einer Waffe.

Schutzmaßnahmen

Für Benutzer

  • Keine Software aus inoffiziellen oder geknackten Quellen herunterladen.
  • Antivirus-Schutz niemals auf Wunsch eines Installationsprogramms deaktivieren.
  • Beliebte „kostenlose” Software-Videos mit Skepsis betrachten.

Für Plattformen

  • Automatisierte Erkennung verdächtiger Interaktionsmuster verstärken.
  • Identifikation von Clustern verknüpfter Konten, die ähnliche URLs posten.
  • Partnerschaft mit Anbietern von Cyber-Sicherheitslösungen zur präventiven Beseitigung von Bedrohungen.

Eine detaillierte technische Analyse bietet der vollständige Forschungsbericht von Check Point Research.

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung
Skip to content