Der Sicherheitsanbieter half dabei, über ein Jahr lang eine hochskalierbare Hacker-Kampagne zu beobachten und abzuschalten
Redwood City, Kalifornien, USA – 27. Oktober 2025 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein Pionier und weltweit führender Anbieter von Cyber-Sicherheitslösungen, hat ein gross angelegtes Cyber-Netzwerk aufgedeckt, das sich in einem der vertrauenswürdigsten Bereiche des Internets versteckte: YouTube. Was wie harmlose Tutorials und Software-Demos aussah, entpuppte sich als ausgeklügeltes Netzwerk zur Verbreitung von Malware, bekannt als das YouTube Ghost Network. Zusammengefasst:
- Check Point Research deckte das YouTube Ghost Network auf, eine gross angelegte Malware-Verbreitungsaktion, bei der gefälschte und kompromittierte YouTube-Konten verwendet wurden, um Infostealer wie Rhadamanthys und Lumma zu verbreiten.
- Mehr als 3‘000 bösartige Videos wurden identifiziert und entfernt, nachdem sie von Check Point Research gemeldet worden waren, wodurch eine der grössten Malware-Aktivitäten auf YouTube unterbunden wurde.
- Die Operation stützte sich auf geknackte Software und Game-Hack-Videos, um Opfer zum Herunterladen passwortgeschützter Archive mit Malware zu verleiten.
- Gekaperte Konten wurden verwendet, um Videos zu posten, Links zu teilen und Kommentarbereiche mit gefälschten Empfehlungen zu überschwemmen, wodurch ein falsches Gefühl des Vertrauens geschaffen wurde.
- Die Untersuchung zeigt einen wachsenden Trend, dass Cyber-Kriminelle soziale Plattformen und Engagement-Tools nutzen, um Malware in grossem Umfang zu verbreiten.
Die Operation nutzte kompromittierte und gefälschte YouTube-Konten, um Infostealer wie Rhadamanthys und Lumma zu verbreiten, die oft als geknackte Software oder Gaming-Cheats getarnt waren.
Nach monatelangen Ermittlungen meldete Check Point Research mehr als 3‘000 bösartige Videos an Google, was zu deren Entfernung und zur Störung eines wichtigen Malware-Vertriebskanals führte.
Eine detaillierte technische Analyse bietet der vollständige Forschungsbericht von Check Point Research.
https://research.checkpoint.com/2025/youtube-ghost-network/
Einblick in das YouTube Ghost Network
Abbildung 1: Funktionsweise des YouTube Ghost Network (Check Point Software Technologies Ltd.).
Das Ghost Network ist keine zufällige Ansammlung von betrügerischen Uploads, sondern ein koordiniertes System aus gefälschten oder gekaperten Konten, die vertrauenswürdig erscheinen sollen.
Jeder Kontotyp spielt eine bestimmte Rolle:
- Videokonten: Hochladen von Tutorial-Videos, die Links zum Herunterladen bösartiger Dateien enthalten.
- Post-Konten: Veröffentlichen von Community-Beiträgen mit Passwörtern und aktualisierten Links.
- Interaktionskonten: Veröffentlichen positiver Kommentare und Likes, um bösartige Videos als sicher erscheinen zu lassen.
Abbildung 2: Vermeintlich echte positive Kommentare zu einem Malware-Video (Check Point Software Technologies Ltd.).
Diese modulare Struktur ermöglicht eine schnelle Skalierung des Betriebs und das Bestehen gegen Account-Sperren, wodurch die Entfernung komplexer und kontinuierlicher wird.
«Bei dieser Operation wurden Vertrauenssignale, wie Aufrufe, Likes und Kommentare, ausgenutzt, um bösartige Inhalte als sicher erscheinen zu lassen», sagt Eli Smadja, Security Research Group Manager bei Check Point Software Technologies. Weiter: «Was wie ein hilfreiches Tutorial aussieht, kann in Wirklichkeit eine raffinierte Cyber-Falle sein. Der Umfang, die Modularität und die Raffinesse dieses Netzwerks machen es zu einem Musterbeispiel dafür, wie Angreifer solche Engagement-Tools mittlerweile als Waffen einsetzen, um Malware zu verbreiten.»
Von geknackter Software bis zum Diebstahl von Zugangsdaten
- Ein auf Dropbox, Google Drive oder MediaFire liegendes Archiv herunterzuladen.
- Windows Defender vorübergehend zu deaktivieren.
- Die als legitime Software bezeichnete, in Wirklichkeit jedoch als Malware identifizierte Software zu extrahieren und zu installieren.
Abbildung 3: Phishing-Fälschung von Google Sites (Check Point Software Technologies Ltd.).
Nach ihrer Ausführung exfiltrierten diese Infostealer verschiedene Anmeldedaten, Krypto-Währungs-Wallets und Systemdaten an Command-and-Control-Server, die häufig alle paar Tage wechselten, um einer Entdeckung zu entgehen.
Highlights der Kampagne:
- Ein kompromittierter YouTube-Kanal mit 129’000 Abonnenten veröffentlichte eine geknackte Version von Adobe Photoshop, die 291’000 Aufrufe und über 1’000 Likes erreichte.
- Ein weiterer kompromittierter Kanal richtete sich an Nutzer von Krypto-Währungen und leitete die Zuschauer auf Google Sites Phishing-Seiten weiter, auf denen der Rhadamanthys Stealer versteckt wurde.
- Die Angreifer aktualisierten regelmässig die Links und Payloads, wodurch auch nach teilweiser Entfernung anhaltende Infektionsketten ermöglicht wurden.
Störung und Abschaltung
Check Point Research hat diese Aktivitäten über ein Jahr lang verfolgt und dabei Tausende miteinander verbundene Konten und Kampagnen kartiert. Durch die direkte Zusammenarbeit mit Google hat Check Point Research die Entfernung von mehr als 3’000 bösartigen Videos ermöglicht und damit eine der bislang skalierbarsten Methoden zur Verbreitung von Malware auf YouTube unterbunden.
Abbildung 4: Auch aus Deutschland wurden verseuchte Dateien hochgeladen (Check Point Software Technologies Ltd.).
Diese Arbeit zeigt, wie wichtig präventive Bedrohungsinformationen und die Zusammenarbeit zwischen Sicherheitsforschern und Plattformbetreibern sind. Durch die Identifizierung und Meldung dieser Kampagnen hat Check Point Research dazu beigetragen, Millionen potenzieller Opfer zu schützen und das Vertrauen in eine der weltweit meistgenutzten Plattformen wiederherzustellen.
Das grosse Ganze: Vertrauen als Ziel
Diese Kampagne spiegelt einen umfassenderen Wandel in der Strategie von Cyber-Kriminellen wider.
Im Gegensatz zu herkömmlichem Phishing sind diese Angriffe erfolgreich, weil sie authentisch erscheinen. Die Manipulation des Vertrauens in Plattformen stellt eine neue Dimension des Social Engineering dar. Hier wird der Anschein von Legitimität zu einer Waffe.
Schutzmassnahmen:
Für Benutzer
- Keine Software aus inoffiziellen oder geknackten Quellen herunterladen.
- Antivirus-Schutz niemals auf Wunsch eines Installationsprogramms deaktivieren.
- Beliebte «kostenlose» Software-Videos mit Skepsis betrachten.
Für Plattformen
- Automatisierte Erkennung verdächtiger Interaktionsmuster verstärken.
- Identifikation von Clustern verknüpfter Konten, die ähnliche URLs posten.
- Partnerschaft mit Anbietern von Cyber-Sicherheitslösungen zur präventiven Beseitigung von Bedrohungen.
Schutzmassnahmen von Check Point
Check Point Threat Emulation und Harmony Endpoint bieten Schutz vor den Infostealern Rhadamanthys und Lumma sowie den in dieser Kampagne identifizierten Lieferketten.
In Zusammenarbeit mit der Branche tragen diese Lösungen dazu bei, die Lücke zwischen Entdeckung und Unterbrechung zu schliessen.
«In der heutigen Bedrohungslandschaft kann ein populär wirkendes Video genauso gefährlich sein wie eine Phishing-E-Mail», fügt Smadja hinzu. «Diese Entdeckung zeigt, dass selbst vertrauenswürdige Plattformen nicht immun gegen Missbrauch sind, aber sie beweist auch, dass wir mit den richtigen Informationen und Partnerschaften dagegen vorgehen können.»
Eine detaillierte technische Analyse und eine vollständige Liste der Kompromittierungsindikatoren finden Sie im vollständigen Forschungsbericht von Check Point Research.
https://research.checkpoint.com/2025/youtube-ghost-network
Weitere Informationen finden Sie hier: https://blog.checkpoint.com/artificial-intelligence/ai-powered-phishing-detection-the-next-generation-security-engine/
Folgen Sie Check Point über:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com/artificial-intelligence/ai-powered-phishing-detection-the-next-generation-security-engine/
YouTube: https://www.youtube.com/user/CPGlobal
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter einer KI-gestützten, cloud-basierten Cyber-Sicherheitsplattform, die mehr als 100’000 Unternehmen weltweit schützt. Check Point nutzt die Kraft der KI überall, um die Effizienz und Genauigkeit der Cyber-Sicherheit durch seine Infinity-Plattform zu verbessern, dies mit branchenführenden Erkennungsraten, die eine Antizipation von Bedrohungen und intelligentere, schnellere Reaktionszeiten ermöglichen. Die umfassende Plattform umfasst Cloud-Technologien, bestehend aus Check Point Harmony zur Absicherung des Arbeitsplatzes, Check Point CloudGuard zur Absicherung der Cloud, Check Point Quantum zur Absicherung des Netzwerks und Check Point Infinity Core Services für kollaborative Sicherheitsabläufe und -dienste.
Legal Notice Regarding Forward-Looking Statements
This press release contains forward-looking statements. Forward-looking statements generally relate to future events or our future financial or operating performance. Forward-looking statements in this press release include, but are not limited to, statements related to our expectations regarding future growth, the expansion of Check Point’s industry leadership, the enhancement of shareholder value and the delivery of an industry-leading cyber security platform to customers worldwide. Our expectations and beliefs regarding these matters may not materialize, and actual results or events in the future are subject to risks and uncertainties that could cause actual results or events to differ materially from those projected. The forward-looking statements contained in this press release are also subject to other risks and uncertainties, including those more fully described in our filings with the Securities and Exchange Commission, including our Annual Report on Form 20-F filed with the Securities and Exchange Commission on April 2, 2024. The forward-looking statements in this press release are based on information available to Check Point as of the date hereof, and Check Point disclaims any obligation to update any forward-looking statements, except as required by law.
Pressekontakt:
Jenni Kommunikation AG
Marianne Bircher
Tel: +41 44 388 60 80
E-Mail: marianne.bircher@jeko.com