{"id":317452,"date":"2025-10-26T00:05:30","date_gmt":"2025-10-25T22:05:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=317452"},"modified":"2025-10-25T11:09:58","modified_gmt":"2025-10-25T09:09:58","slug":"check-point-research-deckt-youtube-ghost-malware-netzwerk-auf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/26\/check-point-research-deckt-youtube-ghost-malware-netzwerk-auf\/","title":{"rendered":"Check Point Research deckt YouTube Ghost Malware-Netzwerk auf"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>\u00dcber ein Jahr lang haben die Sicherheitsforscher von Check Point dabei geholfen, das GhostNetwork lahmzulegen, welches mittels Youtube-Videos Malware verbreitet hat. Mehr als 3000 Videos konnten abgeschaltet werden. Hochgeladen wurden sie aus vielen L\u00e4ndern, auch aus Deutschland.<\/p>\n<p><!--more--><\/p>\n<p>Das Thema ist mir die Woche einmal durch nachfolgenden <a href=\"https:\/\/x.com\/_CPResearch_\/status\/1981345962808201365\" target=\"_blank\" rel=\"noopener\">Tweet<\/a>, aber auch durch eine direkte Mitteilung von Check Point Research zugegangen.<\/p>\n<p><a href=\"https:\/\/research.checkpoint.com\/2025\/youtube-ghost-network\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/htGjGxYy\/image.png\" alt=\"YouTube Malware-Netzwerk aufgedeckt\" width=\"531\" height=\"497\" \/><\/a><\/p>\n<p>Was wie harmlose Tutorials und Software-Demos aussah, entpuppte sich als ausgekl\u00fcgeltes Netzwerk zur Verbreitung von Malware, bekannt als das <em>YouTube Ghost Network<\/em>.<\/p>\n<ul>\n<li>Check Point Research deckte das <em>YouTube Ghost Network <\/em>auf, eine gro\u00df angelegte Malware-Verbreitungsaktion, bei der gef\u00e4lschte und kompromittierte YouTube-Konten verwendet wurden, um Infostealer wie Rhadamanthys und Lumma zu verbreiten.<\/li>\n<li>Mehr als 3000 b\u00f6sartige Videos wurden identifiziert und entfernt, nachdem sie von Check Point Research gemeldet worden waren, wodurch eine der gr\u00f6\u00dften Malware-Aktivit\u00e4ten auf YouTube unterbunden wurde.<\/li>\n<li>Die Operation st\u00fctzte sich auf geknackte Software und Game-Hack-Videos, um Opfer zum Herunterladen passwortgesch\u00fctzter Archive mit Malware zu verleiten.<\/li>\n<li>Gekaperte Konten wurden verwendet, um Videos zu posten, Links zu teilen und Kommentarbereiche mit gef\u00e4lschten Empfehlungen zu \u00fcberschwemmen, wodurch ein falsches Gef\u00fchl des Vertrauens geschaffen wurde.<\/li>\n<li>Die Untersuchung zeigt einen wachsenden Trend, dass Cyber-Kriminelle soziale Plattformen und Engagement-Tools nutzen, um Malware in gro\u00dfem Umfang zu verbreiten.<\/li>\n<\/ul>\n<p>Die Operation nutzte kompromittierte und gef\u00e4lschte YouTube-Konten, um Infostealer wie Rhadamanthys und Lumma zu verbreiten, die oft als geknackte Software oder Gaming-Cheats getarnt waren.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/L8jynYZL\/files-images-Check-Point-Angriffskette-Ghost-Network.png\" alt=\"Ghost Network\" width=\"640\" height=\"383\" \/><br \/>\n<em>Abbildung 1: Funktionsweise des YouTube Ghost Network (Check Point Software Technologies Ltd.).<\/em><\/p>\n<p>Das Ghost Network ist keine zuf\u00e4llige Ansammlung von betr\u00fcgerischen Uploads, sondern ein koordiniertes System aus gef\u00e4lschten oder gekaperten Konten, die vertrauensw\u00fcrdig erscheinen sollen.\u00a0Jeder Kontotyp spielt eine bestimmte Rolle:<\/p>\n<ul>\n<li>Videokonten: Hochladen von Tutorial-Videos, die Links zum Herunterladen b\u00f6sartiger Dateien enthalten.<\/li>\n<li>Post-Konten: Ver\u00f6ffentlichen von Community-Beitr\u00e4gen mit Passw\u00f6rtern und aktualisierten Links.<\/li>\n<li>Interaktionskonten: Ver\u00f6ffentlichen positiver Kommentare und Likes, um b\u00f6sartige Videos als sicher erscheinen zu lassen.<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/WbgKJfBd\/files-images-Check-Point-Beispiel-eines-solchen-Videos.png\" alt=\"Rezensionen zu Uploads\" width=\"640\" height=\"537\" \/><br \/>\n<em>Abbildung 2: Vermeintlich echte positive Kommentare zu einem Malware-Video ((Check Point Software Technologies Ltd.).<\/em><\/p>\n<p>Diese modulare Struktur erm\u00f6glicht eine schnelle Skalierung des Betriebs und das Bestehen gegen Account-Sperren, wodurch die Entfernung komplexer und kontinuierlicher wird.<\/p>\n<h3>Von geknackter Software bis zum Diebstahl von Zugangsdaten<\/h3>\n<p>Das Netzwerk unterhielt eine ausgekl\u00fcgelte Struktur zur Verbreitung mit folgenden F\u00e4higkeiten:<\/p>\n<ol>\n<li>Ein auf Dropbox, Google Drive oder MediaFire liegendes Archiv zum herunterladen.<\/li>\n<li>Windows Defender vor\u00fcbergehend zu deaktivieren.<\/li>\n<li>Die als legitime Software bezeichnete, in Wirklichkeit jedoch als Malware identifizierte Software zu extrahieren und zu installieren.<\/li>\n<\/ol>\n<p>Nach ihrer Ausf\u00fchrung exfiltrierten diese Infostealer verschiedene Anmeldedaten, Krypto-W\u00e4hrungs-Wallets und Systemdaten an Command-and-Control-Server, die h\u00e4ufig alle paar Tage wechselten, um einer Entdeckung zu entgehen.<\/p>\n<p>Highlights der Kampagne:<\/p>\n<ul>\n<li>Ein kompromittierter YouTube-Kanal mit 129 000 Abonnenten ver\u00f6ffentlichte eine geknackte Version von Adobe Photoshop, die 291 000 Aufrufe und \u00fcber 1000 Likes erreichte.<\/li>\n<li>Ein weiterer kompromittierter Kanal richtete sich an Nutzer von Krypto-W\u00e4hrungen und leitete die Zuschauer auf Google Sites Phishing-Seiten weiter, auf denen der Rhadamanthys Stealer versteckt wurde.<\/li>\n<li>Die Angreifer aktualisierten regelm\u00e4\u00dfig die Links und Payloads, wodurch auch nach teilweiser Entfernung anhaltende Infektionsketten erm\u00f6glicht wurden.<\/li>\n<\/ul>\n<p>Check Point Research hat diese Aktivit\u00e4ten \u00fcber ein Jahr lang verfolgt und dabei Tausende miteinander verbundene Konten und Kampagnen kartiert.\u00a0Nach monatelangen Ermittlungen meldete Check Point Research mehr als 3000 b\u00f6sartige Videos an Google, was zu deren Entfernung und zur St\u00f6rung eines wichtigen Malware-Vertriebskanals f\u00fchrte. Eine detaillierte technische Analyse bietet der Bericht\u00a0<a href=\"https:\/\/research.checkpoint.com\/2025\/youtube-ghost-network\/\" target=\"_blank\" rel=\"noopener\">Dissecting YouTube's Malware Distribution Network<\/a> von Check Point Research.<\/p>\n<h2>Wie man sich sch\u00fctzen kann<\/h2>\n<p>Angesichts des obigen Angriffsvektors ist der Schutz f\u00fcr Anwender eigentlich trivial \u00fcber folgende Ma\u00dfnahmen umzusetzen:<\/p>\n<ul>\n<li>Keine Software aus inoffiziellen oder geknackten Quellen herunterladen.<\/li>\n<li>Antivirus-Schutz niemals auf Wunsch eines Installationsprogramms deaktivieren.<\/li>\n<li>Beliebte \u201ekostenlose\" Software-Videos mit Skepsis betrachten.<\/li>\n<\/ul>\n<p>Eigentlich Sachen, die jetzt Nutzer beherzigen sollte, aber wohl noch immer nicht tut.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00dcber ein Jahr lang haben die Sicherheitsforscher von Check Point dabei geholfen, das GhostNetwork lahmzulegen, welches mittels Youtube-Videos Malware verbreitet hat. Mehr als 3000 Videos konnten abgeschaltet werden. Hochgeladen wurden sie aus vielen L\u00e4ndern, auch aus Deutschland.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4338,4328,1623],"class_list":["post-317452","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-internet","tag-sicherheit","tag-youtube"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=317452"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317452\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=317452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=317452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=317452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}