Google hat nach aktuellen Erkenntnissen mehr als 3000 YouTube-Videos entfernt, die zu einer koordinierten Schadkampagne namens YouTube Ghost Network gehoeren. Laut einer Analyse von Check Point ist die Aktivitaet seit 2021 messbar, der Output hat sich jedoch 2025 etwa verdreifacht. Ziel ist die massenhafte Verbreitung der Infostealer Rhadamanthys und Lumma – getarnt als gecrackte Software oder Cheats fuer beliebte Spiele.
Angriffsmuster: gekaperte Kanaele, gefaelschte Interaktionen und Vertrauen durch Reichweite
Die Betreiber kompromittierten legitime YouTube-Konten und legten zusaetzlich Fake-Profile an. Ein Teil der Accounts veroefentlichte „Tutorials“ mit schaedlichen Links, andere steuerten automatisiert Views, Likes und Kommentare bei, wiederum weitere verteilten URLs ueber die Community-Funktion. Diese Aufgabentrennung erzeugte vermeintliche Vertrauenssignale: Inhalte wirkten populär und damit sicher, obwohl sie auf Malware fuehrten.
Lockmittel und Lieferkette: gecrackte Tools, Roblox-Cheats und Cloud-Hosting
Als Koeder dienten kostenlose, vermeintlich „gecrackte“ Versionen von Photoshop, FL Studio, Microsoft Office, Lightroom sowie Cheats fuer Roblox. In den Videos wurden Opfer aufgefordert, den Virenschutz zu deaktivieren und Archive von Dropbox, Google Drive oder MediaFire zu beziehen. Statt der angekuendigten Software installierten die Pakete Rhadamanthys oder Lumma, die Zugangsdaten, Cookies und Krypto-Wallet-Informationen abgreifen und an die Angreifer exfiltrieren.
Belege aus der Praxis: hohe Reichweiten und agile Infrastruktur
Ein kompromittierter Kanal mit 129.000 Abonnenten bewarb ein „piratisiertes“ Adobe Photoshop-Video, das rund 300.000 Aufrufe und ueber 1000 Likes erzielte. Parallel existierten Vektoren, die Krypto-Nutzer ueber Google Sites auf Phishing-Seiten leiteten. Die Operatoren rotierten Payloads und Links regelmaessig, um Moderation zu unterlaufen und ihre Infrastruktur resilient zu halten.
Modulare Kampagnenstruktur und Parallelen zu GitHub-Angriffen
Die Kampagne folgt einem modularen Design: getrennte Einheiten fuer Payload-Hosting, Interaktionsmanipulation und Link-Verteilung ermoeglichen Skalierung und schnelle Wiederherstellung nach Takedowns. Check Point zieht Parallelen zum Stargazers Ghost Network auf GitHub, in dem tausende Schein-Entwicklerkonten fuer das Hosting boesartiger Repositories genutzt wurden – ein aehnliches Oekosystem aus Scheinpopularitaet und verteilten Rollen.
Attribution, Motivation und Risiko
Eine eindeutige Zuordnung der Taeter bleibt aus. Die Hauptmotivation ist augenscheinlich finanziell: Monetarisierung gestohlener Accounts und Krypto-Guthaben. Gleichzeitig eignet sich das Modell fuer gezielte Angriffe, da die Nutzung vertrauenswuerdiger Plattformen und echte Nutzerkonten die Entdeckung erschwert.
Warum die Masche verfängt – und Moderation schwer bleibt
Videohosting- und Cloud-Dienste gelten vielen als sicher, was Social Engineering vereinfacht. Sichtbare Engagement-Signale wie hohe Aufrufe und positive Kommentare senken die Skepsis weiter. Durch Domain- und Konto-Rotation, kurzlebige Artefakte und das Ausnutzen legitimer Dienste („Living off the Land“) reduzieren Angreifer das Erkennungsfenster. Plattformseitig kommen zwar Heuristiken und automatisierte Analysen zum Einsatz, doch die dynamische Payload-Aktualisierung und die Missbrauchsresistenz grosser Cloud-Provider machen Takedowns reaktiv.
Empfehlungen: pragmatische Schutzmassnahmen fuer Nutzer und Unternehmen
Keine Schutzsoftware deaktivieren: Aufforderungen, AV/EDR auszuschalten, sind ein klares Alarmzeichen. Kein Piratensoft/keine Cheats laden: Diese Koeder sind etablierte Lieferketten fuer Infostealer.
Quelle pruefen: Kanalnamen, Historie und Kommentare sorgfaeltig bewerten; bevorzugt nur von offiziellen Herstellerkanaelen laden. Passwortmanager einsetzen und 2FA aktivieren, um Kontouebernahmen zu erschweren.
Kontozugriffe auditieren: Drittanbieter-Zugriffe im Google-Konto regelmaessig pruefen und verdächtige OAuth-Tokens widerrufen. Systeme aktuell halten; Signaturen und Inhalte von Archiven vor Ausfuehrung in einer sicheren Umgebung pruefen.
Unternehmen: Download-Policies fuer ausfuehrbare Archive aus oeffentlichen Clouds erzwingen, Web- und DNS-Filtering nutzen, EDR mit verhaltensbasierter Erkennung ausrollen und Awareness-Trainings zu Social Engineering etablieren.
Beliebte Plattformen sind kein Sicherheitsgarant. Wer gecrackte Software, „Schnellloesungen“ und ungepruefte Links meidet, 2FA konsequent nutzt und Quellen verifiziert, reduziert sein Risiko signifikant. Unternehmen sollten durch Policies, EDR und Schulungen die Angriffsflaeche minimieren. Bleiben Sie kritisch – hohe Aufrufzahlen sind kein Vertrauenssiegel.
