YouTube Ghost Network

Was ist das YouTube Ghost Network?

Das YouTube Ghost Network bezeichnet eine koordinierte Malware-Kampagne, die gefälschte und kompromittierte YouTube-Accounts nutzte, um Schadsoftware zu verbreiten. Check Point Research identifizierte mehr als 3000 Videos, die nach Meldung an Google entfernt wurden.

Die Betrüger tarnten ihre Videos als hilfreiche Anleitungen für:

• Geknackte Premium-Software
• Gaming-Cheats und Hacks
• Kostenlose Versionen kostenpflichtiger Programme

So funktioniert die YouTube Malware-Kampagne

Die Cyberkriminellen setzten auf ein ausgeklügeltes System mit verschiedenen Account-Typen:

Upload-Accounts: Veröffentlichten Tutorial-Videos mit Download-Links zu passwortgeschützten Archiven

Support-Accounts: Posteten Community-Beiträge mit Passwörtern und aktualisierten Links, wenn alte gesperrt wurden

Engagement-Accounts: Hinterließen positive Kommentare und Likes, um Vertrauen zu schaffen

„Bei dieser Operation wurden Vertrauenssignale wie Aufrufe, Likes und Kommentare ausgenutzt“, erklärt Eli Smadja, Manager der Security Research Group bei Check Point Software Technologies. Die modulare Struktur ermöglichte es den Betreibern, Account-Sperren zu umgehen und die Kampagne fortzusetzen.

Prominente Fälle: 291.000 Aufrufe für Fake-Photoshop

Ein besonders erfolgreicher Fall zeigt das Ausmaß der Bedrohung: Ein kompromittierter YouTube-Kanal mit 129.000 Abonnenten verbreitete eine präparierte Version von Adobe Photoshop. Das Video erreichte 291.000 Aufrufe und über 1000 Likes – ein klares Zeichen für die Wirksamkeit der Social-Engineering-Taktiken.

Ein weiterer Kanal richtete sich gezielt an Kryptowährungsnutzer und leitete diese auf Phishing-Seiten weiter, um Zugriff auf Crypto-Wallets zu erhalten.

Gefährliche Infostealer: Rhadamanthys und Lumma

Nach der Installation der vermeintlichen Software exfiltrierten die Infostealer-Programme sensible Daten:

• Anmeldedaten und Passwörter
• Krypto-Wallets und Private Keys
• Systemdaten und Browserinformationen
• Cookies und Session-Tokens

Die gestohlenen Daten wurden an Command-and-Control-Server übertragen, deren Adressen regelmäßig wechselten, um Erkennungssysteme zu umgehen.

Jahrelange Ermittlungen decken Netzwerk auf

Die Sicherheitsforscher von Check Point verfolgten die Aktivitäten des YouTube Ghost Networks über ein Jahr lang. Dabei kartierten sie Tausende miteinander verbundene Konten und Kampagnen. Die Zusammenarbeit mit Google führte schließlich zur Entfernung der schadhaften Videos.

So schützen Sie sich vor YouTube-Malware

Sicherheitsexperten empfehlen folgende Schutzmaßnahmen:

Keine Software aus inoffiziellen Quellen: Laden Sie Programme nur von offiziellen Herstellerseiten herunter

Antivirus niemals deaktivieren: Seriöse Software fordert nie die Deaktivierung von Sicherheitsprogrammen

Skeptisch bei „kostenlosen“ Premium-Angeboten: Videos, die teure Software kostenlos versprechen, sind höchstwahrscheinlich Betrug

Verdächtige Videos melden: Helfen Sie anderen Nutzern, indem Sie zweifelhafte Inhalte bei YouTube melden

Fazit: Social Engineering auf neuer Ebene

Das YouTube Ghost Network zeigt, wie Cyberkriminelle soziale Plattformen und deren Engagement-Mechanismen missbrauchen. Die gezielte Manipulation von Vertrauenssignalen auf etablierten Plattformen wie YouTube stellt eine gefährliche Weiterentwicklung klassischer Phishing-Methoden dar.

Die Kampagne verdeutlicht, dass selbst Videos mit vielen Aufrufen, Likes und positiven Kommentaren nicht automatisch vertrauenswürdig sind. Wachsamkeit und gesunder Menschenverstand bleiben die beste Verteidigung gegen solche Bedrohungen.

What is the YouTube Ghost Network?

The YouTube Ghost Network refers to a coordinated malware campaign that used fake and compromised YouTube accounts to spread malicious software. Check Point Research identified more than 3,000 videos, which were removed after being reported to Google.

The scammers disguised their videos as helpful tutorials for:

• Cracked premium software
• Gaming cheats and hacks
• Free versions of paid programs

How the YouTube malware campaign works

The cybercriminals relied on a sophisticated system with different account types:

Upload accounts: Published tutorial videos with download links to password-protected archives

Support accounts: Posted community posts with passwords and updated links when old ones were blocked

Engagement accounts: Left positive comments and likes to build trust

“This operation exploited trust signals such as views, likes, and comments,” explains Eli Smadja, manager of the Security Research Group at Check Point Software Technologies. The modular structure enabled the operators to circumvent account bans and continue the campaign.

Prominent cases: 291,000 views for fake Photoshop

One particularly successful case illustrates the extent of the threat: a compromised YouTube channel with 129,000 subscribers distributed a rigged version of Adobe Photoshop. The video received 291,000 views and over 1,000 likes – a clear sign of the effectiveness of social engineering tactics.

Another channel specifically targeted cryptocurrency users and redirected them to phishing sites in order to gain access to crypto wallets.

Dangerous infostealers: Rhadamanthys and Lumma

After installing the supposed software, the infostealer programs exfiltrated sensitive data:

• Login details and passwords
• Crypto wallets and private keys
• System data and browser information
• Cookies and session tokens

The stolen data was transferred to command-and-control servers whose addresses changed regularly to evade detection systems.

Years of investigation uncover network

Check Point security researchers tracked the activities of the YouTube Ghost Network for over a year. In the process, they mapped thousands of interconnected accounts and campaigns. Collaboration with Google ultimately led to the removal of the malicious videos.

How to protect yourself from YouTube malware

Security experts recommend the following protective measures:

• No software from unofficial sources: Only download programs from official manufacturer websites
• Never disable antivirus software: Reputable software never asks you to disable security programs
• Be skeptical of “free” premium offers: Videos that promise expensive software for free are most likely scams.
• Report suspicious videos: Help other users by reporting questionable content to YouTube.

Conclusion: Social engineering on a new level

The YouTube Ghost Network shows how cybercriminals abuse social platforms and their engagement mechanisms. The targeted manipulation of trust signals on established platforms such as YouTube represents a dangerous evolution of classic phishing methods.

The campaign illustrates that even videos with many views, likes, and positive comments are not automatically trustworthy. Vigilance and common sense remain the best defense against such threats.