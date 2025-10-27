Anzeige
3.000 Youtube-Videos als Malware-Köder enttarnt: Wie Gaming-Cheats zur Falle wurden

Was aussieht wie ein harmloses Gaming-Tutorial, entpuppt sich als Cyberfalle: Forscher:innen haben ein sogenanntes „Ghost Network“ auf Youtube enttarnt, das mit 3.000 manipulierten Videos Malware verbreitete. Wie sie dafür das Vertrauen der Community gezielt ausgenutzt haben.

Von Kim Hönig
2 Min.
Fake-Community als Köder: Ghost Networks nutzen Youtube zur Malware-Verbreitung. (Foto: Muhammad Alimaki / Shutterstock)

Gemeinsam mit den Sicherheitsforscher:innen von Check Point Research ist Youtube ein großer Schlag gegen eine betrügerische Kampagne gelungen. Rund 3.000 Videos wurden entfernt, weil sie im großen Stil Malware verbreiteten.

Dahinter steckt das Phänomen der „Ghost Networks“ (dt. Geisternetzwerk), die für ihre Kampagnen Tausende gefälschte oder gehackte Accounts einsetzen, um mit schädlichen Links in Video-Beschreibungen und Kommentaren Malware wie Infostealer zu verbreiten. Der Trick: Die Akteur:innen lassen ihre Links durch manipulierte Engagements, etwa Likes und positive Kommentare, vertrauenswürdig erscheinen.

Plattform-Community als Falle: So arbeiten Ghost Networks

Die nun aufgedeckte, „Youtube Ghost Network“ getaufte Malware-Kampagne war laut The Register seit 2021 aktiv. 2025 verdreifachte sie ihre Uploads von Köder-Videos. Die damit gekoppelten Links versprachen oft Raubkopien teurer Software, zum Beispiel von Adobe oder Microsoft, am häufigsten lockte das Netzwerk jedoch mit Gaming-Cheats für beliebte Spiele wie Roblox.

Nun sollte heutzutage eigentlich jede:r Internetnutzer:in ein generelles Misstrauen gegenüber fremden Links im Web verinnerlicht haben – weswegen sich die Kriminellen den Community-Aspekt von Plattformen wie Youtube gezielt für ihre Machenschaften zunutze machen. Einerseits werden etablierte und vertrauenswürdige Konten gekapert und missbraucht, andererseits werden die Kommentarspalten mit Likes, Lob und Emojis überflutet, um den Anschein zu erwecken, dass viele User positive Erfahrung mit den Links gemacht haben.

„Diese Operation nutzte Vertrauenssignale wie Aufrufe, Likes und Kommentare, um bösartige Inhalte sicher erscheinen zu lassen“, erklärt Eli Smadja, Leiter der Sicherheitsforschungsgruppe bei Check Point. „Was wie ein hilfreiches Tutorial aussieht, kann sich als raffinierte Cyberfalle erweisen. Die Größe, Modularität und Komplexität dieses Netzwerks machen es zu einer Blaupause dafür, wie Bedrohungsakteure heute Engagement-Tools zur Verbreitung von Malware einsetzen.“

Gekaperte Youtube-Konten ersetzen allmählich Phishing-Mail

Die große Anzahl der beteiligten Accounts macht es den Kriminellen besonders leicht, auf Löschungen zu reagieren und ihr Netzwerk auch trotz kurzfristiger Rückschläge aufrechtzuerhalten. Entsprechend handelt es sich hier auch nicht um ein neues Phänomen. Stattdessen werden Ghost Networks seit Jahren zur Verbreitung von Malware genutzt – nicht nur auf Youtube, sondern auch auf anderen vertrauenswürdigen Plattformen wie beispielsweise GitHub.

Damit lösen die sozialen Plattformen allmählich sogar das E-Mail-Postfach als Phishing-Falle Nummer eins ab – vermutlich auch, weil vielen Nutzer:innen die Bedrohungslage hier deutlich bewusster ist. „In der heutigen Bedrohungslandschaft kann ein populäres Video genauso gefährlich sein wie eine Phishing-E-Mail“, sagt auch Smadja.

Es gilt also auch bei noch so vielen vermeintlichen Likes: Vorsicht vor Links im Internet – umsonst gibt es in den seltensten Fällen etwas.

Wer hinter dem „Youtube Ghost Network“ steckt, konnte Check Point übrigens nicht nachweisen. Mit der Aufdeckung und der daraus resultierenden Löschung von Tausenden Videos mit schädlichen Links hat die Studie dennoch einen großen Beitrag zur Online-Sicherheit geleistet.

