Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware YouTube Ghost Network

YouTube Ghost Network

Von Mezo in Malware
Übersetzen Sie in:

Eine Gruppe bösartiger YouTube-Konten nutzt die Popularität der Plattform aus, um ahnungslosen Nutzern Schadsoftware aufzudrängen. Indem sie legitime Tutorials und Software-Crack-Inhalte nachahmen und sich auf Engagement-Kennzahlen stützen, verwandeln diese Akteure scheinbar hilfreiche Videos in Infektionsvektoren.

Ein wachsender, langfristiger Betrieb

Die seit 2021 aktive Kampagne – von Sicherheitsforschern mittlerweile „YouTube Ghost Network“ genannt – hat über 3.000 bösartige Videos hochgeladen. Das Volumen stieg in diesem Jahr sprunghaft an und verdreifachte sich etwa, was Google dazu zwang, den Großteil des anstößigen Materials zu entfernen. Trotz der Entfernungen ermöglichen der Umfang und das modulare Design der Operation eine schnelle Regeneration.

So funktioniert das System: Vertrauen als Waffe

Angreifer kapern legitime Kanäle oder erstellen neue und ersetzen oder laden Videos hoch, die für Raubkopien, Spiele-Cheats (insbesondere Roblox-Cheats) oder gecrackte Software werben. Diese Videos wirken oft wie aufwendige Tutorials und nutzen sichtbare Vertrauenssignale, hohe Aufrufzahlen, Likes und positive Kommentare, um die Zuschauer von der Sicherheit der Inhalte zu überzeugen. Viele infizierte Videos haben Hunderttausende Aufrufe (gemeldete Spanne: ~147.000–293.000), was den Köder besonders effektiv macht.

Eine rollenbasierte, belastbare Infrastruktur

Die Stärke des Netzwerks liegt in seiner rollenbasierten Struktur: Kompromittierten Konten werden bestimmte operative Aufgaben zugewiesen, sodass die Kampagne auch dann fortgesetzt werden kann, wenn einzelne Konten gesperrt werden. Diese Architektur trägt zur Aufrechterhaltung der Kontinuität bei und erschwert die Behebung von Problemen.

Zu den beobachteten Kontotypen gehören:

Videokonten : Laden Sie Ködervideos hoch und platzieren Sie Download-Links in Beschreibungen, angehefteten Kommentaren oder eingebettet in die Video-Komplettlösung.

Post-Konten : Veröffentlichen Sie Community-Beiträge oder Nachrichten, die auf externe Seiten verweisen.

Interact-Konten : Fügen Sie „Gefällt mir“-Angaben und ermutigende Kommentare hinzu, um sozialen Beweis und Legitimität zu schaffen.

Lieferkette: Wohin die Glieder führen

Anklickbare Links in Videobeschreibungen, Kommentaren und Beiträgen leiten Zuschauer zu Filehosting-Diensten (MediaFire, Dropbox, Google Drive) oder zu Phishing-/Landingpages auf kostenlosen Plattformen (Google Sites, Blogger, Telegraph) weiter. Häufig verwenden diese Ziele URL-Verkürzer, um das eigentliche Ziel zu verschleiern. Dieses verlinkt oft auf weitere Seiten, die letztlich Installer oder Loader bereitstellen.

Beobachtete Malware-Familien und Loader

Forscher haben das Netzwerk mit mehreren Informationsdiebstahl-Familien und Node.js-basierten Loadern und Downloadern in Verbindung gebracht, wie zum Beispiel:

Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer sowie verschiedene Node.js-Loader.

Konkrete Beispiele für Missbrauch

Ein Kanal namens @Sound_Writer (ca. 9.690 Abonnenten) war über ein Jahr lang kompromittiert und wurde zum Hosten von Videos im Zusammenhang mit Kryptowährungen verwendet, die Rhadamanthys einsetzten.

Der Kanal mit dem Namen @Afonesio1 (ca. 129.000 Abonnenten) wurde am 3. Dezember 2024 und erneut am 5. Januar 2025 gekapert, um ein Video zu veröffentlichen, in dem ein geknacktes Adobe Photoshop angeboten wurde. Das verteilte MSI lieferte den Hijack Loader, der wiederum Rhadamanthys installierte.

Warum Ghost Networks so gut funktionieren

Diese Kampagnen sind erfolgreich, weil sie die plattformeigenen Engagement-Tools zweckentfremden, um Legitimität zu signalisieren. Das rollenbasierte Setup ermöglicht einen schnellen Kontoaustausch und eine geringe Fluktuation, sodass die Kampagne auch dann bestehen bleibt, wenn Plattformbetreiber Inhalte entfernen. Ghost Networks sind ein klares Beispiel dafür, wie sich Bedrohungsakteure anpassen, indem sie normale soziale Signale und Plattformfunktionen als Waffe einsetzen.

Ein größerer Trend: Plattformen als Lieferkanäle

YouTube ist nicht das einzige Beispiel für Missbrauch. Angreifer nutzen schon seit Langem gekaperte oder neu erstellte Konten, um Tutorial-Inhalte zu veröffentlichen, die Opfer auf schädliche Links weiterleiten. Auch andere legitime Dienste und Werbenetzwerke (Suchmaschinen, Dateihoster, Code-Hosting-Sites wie GitHub) werden als Teil verteilter Lieferketten missbraucht (z. B. das verwandte Stargazers Ghost Network-Modell).

Was Sicherheitsteams und Benutzer tun sollten

Praktische Schritte zur Risikominderung:

  • Behandeln Sie unerwünschte Downloads von „gecrackter“ Software und Cheat-Software als hohes Risiko. Bevorzugen Sie Anbieter-Websites und offizielle Stores.
  • Überprüfen Sie Links außerhalb der Plattform vor dem Herunterladen. Vermeiden Sie es, verkürzten URLs zu folgen, ohne deren Ziel zu überprüfen.
  • Verstärken Sie die Erkennung von Stealer-Familien und Node.js-Loadern auf Netzwerk- und Endpunktebene; überwachen Sie verdächtiges Download-Verhalten von gängigen File-Hostern.
  • Bringen Sie den Benutzern bei, Social-Proof-Hinweisen (Ansichten, Likes, Kommentare) zu misstrauen, wenn diese mit Software-Downloads einhergehen.
  • Beheben Sie kompromittierte Kanäle, indem Sie nach ungewöhnlichen Uploads und rotierenden Anmeldeinformationen suchen und die Multifaktor-Authentifizierung für Ersteller erzwingen.

    • Schlussbemerkung

    Das YouTube Ghost Network veranschaulicht die Fähigkeit moderner Angreifer, Social Engineering mit Plattformmechanismen zu verbinden. Da die Operation Vertrauenssignale und eine modulare Kontostruktur ausnutzt, müssen Verteidiger Benutzerschulungen, Plattformüberwachung und technische Kontrollen kombinieren, um die Lieferkette zu unterbrechen und die Angriffsfläche zu reduzieren.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...