Malware-Falle auf YouTube: Mehr als 3.000 Videos entfernt

Nun haben Sicherheitsforscher von Check Point ein weiteres Netzwerk namens YouTube Ghost Network entdeckt, das versucht hat, mit dieser Masche seinen Schadcode zu verbreiten. Seit 2021 haben die Cyberkriminellen mehr als 3.000 Videos veröffentlicht, in deren Beschreibung Links zu Malware enthalten war. Seit Anfang dieses Jahres haben die Aktivitäten der Gruppe zugenommen und die Zahl der Videos sich verdreifacht.

Das Vorgehen der Gruppe folgte weitgehend dem bereits bekannten Schema. Die Kampagne nutzt gehackte Konten und ersetzt deren Inhalte durch Videos, in denen es sich um raubkopierte Software und Roblox-Spiel-Cheats dreht, um ahnungslose Nutzer, die danach suchen, mit Stealer-Malware zu infizieren. Einige dieser Videos haben Hunderttausende von Views erzielt, wobei die vielen Interaktionen wie Aufrufe, Likes oder Kommentare dazu beitragen, dass das Vertrauen in die Kanäle des Hacker-Netzwerks gestärkt wird. Bei Check Point spricht man von einem „Musterbeispiel dafür, wie Angreifer Engagement-Tools mittlerweile als Waffen einsetzen, um Malware zu verbreiten.“

Auf das YouTube Ghost Network aufmerksam gemacht, hat auch Google mittlerweile reagiert und einen Großteil der Videos gesperrt. Trotzdem sollte man vorsichtig sein, denn diese Angriffe sind Teil eines breiteren Trends, bei dem Cyberkriminelle legitime Plattformen für kriminelle Zwecke missbrauchen und sie zu einem wirksamen Mittel für die Verbreitung von Malware machen. Während einige der Kampagnen legitime Werbenetzwerke missbraucht haben, beispielsweise solche, die mit Suchmaschinen wie Google oder Bing verbunden sind, haben andere GitHub als Verbreitungsmedium genutzt, wie im Fall des Stargazers Ghost Network.

Einer der Hauptgründe für den großen Erfolg von Ghost Networks ist, dass sie nicht nur dazu verwendet werden können, die wahrgenommene Legitimität der geteilten Links zu verstärken, Darüber hinaus können sie dank ihrer Struktur auch dann noch operieren, wenn Konten von den Plattformbetreibern gesperrt oder gelöscht werden. Hintergrund dessen ist, dass den kompromittierten Konten eine bestimmte Funktion zugewiesen wird. Da gibt spezielle Konten, die die Videos hochladen, Konten, die die Videos und externe Links teilen und Konten, deren Aufgabe darin besteht, via Likes und Kommentaren zu interagieren, im die Sichtbarkeit zu erhöhen.

Die so verbreiteten Links leiten Nutzer zu einer Vielzahl von Diensten wie MediaFire, Dropbox oder Google Drive weiter oder zu Phishing-Seiten, die auf Google Sites, Blogger und Telegraph gehostet werden und wiederum Links zum Herunterladen der angeblichen Software enthalten. In vielen dieser Fälle werden die Links mithilfe von URL-Shortenern verschleiert, um das tatsächliche Ziel zu verbergen.

Der Fall zeigt, dass Cyberkriminelle immer neue Wege finden, um ihre Malware zu verbreiten und dabei eine Anpassungsfähigkeit an den Tag legen, mit der die herkömmlichen Sicherheitsvorkehrungen nicht immer Schritt halten können. Umso wichtiger ist es, aufmerksam zu bleiben und ein gesundes Misstrauen an den Tag zu legen.