Hacker nutzen Googles DoubleClick-Infrastruktur, um Sicherheitsfilter auszutricksen und Schadsoftware zu verbreiten.
Eine neu entdeckte Malware-Kampagne setzt auf eine raffinierte Taktik: Die Angreifer schleusen ihre Schadsoftware über Googles vertrauenswürdiges Werbenetzwerk DoubleClick ein. Das berichten Sicherheitsforscher von Huntress in ihrem aktuellen Report vom heutigen Samstag.
Banking, PayPal und Online-Shopping – Hacker nutzen immer raffiniertere Methoden, um sensible Daten direkt auf Ihren Geräten abzugreifen. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort wirksam absichern. 5 Schutzmaßnahmen jetzt entdecken
Die Attacke beginnt mit einer harmlos wirkenden E-Mail. Im Anhang befindet sich eine HTML-Datei mit dem Namen „Bestellung_2026.html“. Öffnet das Opfer diese Datei, leitet ein unsichtbarer Meta-Refresh die Verbindung innerhalb von Sekundenbruchteilen auf eine legitime Google-DoubleClick-URL (ad.doubleclick.net) um. Da der Datenverkehr über vertraute Infrastruktur läuft, schlagen die automatischen Sicherheitsfilter der E-Mail-Programme nicht Alarm.
Personalisierte Fallen für jedes Opfer
Die Täter gehen noch einen Schritt weiter: Sie personalisieren die Betrugsseiten dynamisch. Dienste wie Clearbit, logo.dev und Google Favicons laden automatisch das Logo und die Marke der E-Mail-Domain des Opfers. In manchen Fällen wird sogar der Standort des Anwenders eingeblendet – abgefragt über dessen IP-Adresse.
Klickt das Opfer auf den vermeintlichen Download-Button für ein PDF, wird ein ZIP-Archiv ausgeliefert. Darin versteckt sich ein JScript-Dropper, der eine mehrstufige Infektionskette in Gang setzt.
Fünfstufige Infektion – Windows 11 im Visier
Die technische Umsetzung ist komplex. Der JScript-Dropper startet einen PowerShell-Stager, der wiederum einen .NET-Lader herunterlädt. Dieser Lader ist speziell für Heimlichkeit und Persistenz optimiert.
Die Malware manipuliert zentrale Sicherheitsfunktionen von Windows: Sie patcht die Antimalware Scan Interface (AMSI) und das Event Tracing for Windows (ETW) – beides Kernkomponenten der Abwehr. Besonders perfide: Die Umgehungstechniken zielen gezielt auf Windows 11 24H2 ab. Zudem wird der Microsoft Defender deaktiviert und bestimmte Laufwerke werden von der Überwachung ausgeschlossen.
Wenn Windows 11 durch Malware-Manipulationen oder Update-Fehler instabil wird, ist schnelle Hilfe gefragt. In diesem Gratis-Report erfahren Sie, wie Sie typische Systemprobleme ohne teure IT-Techniker und ohne Vorkenntnisse selbst beheben. Kostenlosen Windows 11 Hilfe-Report herunterladen
Den finalen Schadcode schleusen die Angreifer per Process Hollowing ein – einer Methode, bei der legitime Microsoft-Prozesse wie InstallUtil.exe oder MSBuild.exe gekapert werden. Um dauerhaft im System zu bleiben, nutzen die Hacker NVIDIA-getarnte Run-Keys und geplante Tasks, die alle acht bis elf Minuten ausgeführt werden. Die Kommunikation mit den Steuerungsservern läuft über den TCP-Port 7211.
Ein wachsender Trend: Der Missbrauch vertrauenswürdiger Dienste
Die DoubleClick-Kampagne ist kein Einzelfall. Sicherheitsexperten beobachten einen besorgniserregenden Trend: Immer mehr Angreifer nutzen legitime Cloud- und Werbe-Tools für ihre Zwecke.
Erst Anfang der Woche wurde bekannt, dass die Gruppe PCPJack über 230 Server bei Amazon Web Services, Google Cloud und Azure gekapert hat. Die Hacker bauten damit ein verdecktes SMTP-Relay-Netzwerk für groß angelegte Phishing-Aktionen auf.
Auch eine neuartige Magecart-Kampagne, die seit Ende 2025 aktiv ist, missbraucht die Stripe-API und den Google Tag Manager. Die Angreifer verstecken JavaScript-Skimmer in Stripe-Kundendaten, um Kreditkarteninformationen zu stehlen.
Die Zahlen des ersten Quartals 2026 sprechen eine deutliche Sprache: Lader-basierte Angriffe haben sich nahezu verdoppelt. Die Zeit von der ersten Infektion bis zur dauerhaften Übernahme des Systems beträgt bei schnellen Kampagnen mitunter nur 21 Sekunden.
Gefahr für Unternehmen und Banken
Die Auswirkungen sind massiv. Erst am 25. Mai 2026 erbeuteten Betrüger mit gefälschten Google-Anzeigen für die Kryptoplattform Uniswap mehr als 400.000 Euro. Parallel dazu warnt die Silent Ransom Group (auch bekannt als UNC3753) Anwaltskanzleien und Banken. Die Gruppe gibt sich telefonisch als IT-Support aus oder schickt sogar falsche Techniker persönlich vorbei, um Daten per USB-Stick zu stehlen. Der Datenabfluss beginnt oft schon innerhalb einer Stunde nach dem ersten Kontakt.
